Duqu может быть не связан с Stuxnet

image

Теги: SecureWorks, Duqu, Stuxnet

Исследователи SecureWorks считают, что схожесть Stuxnet и Duqu могла оказаться случайной.

Как сообщает канадское отделение информационного агентства Reuters, представители индийских властей осуществили арест оборудования в дата-центре в городе Мумбаи. В ходе следствия была получена информация, что с помощью оборудования в дата-центре злоумышленники  осуществляли контроль над вредоносным программным обеспечением Duqu. Напомним, что Duqu - это троянская программа, впервые обнаруженная в начале этого месяца. Фрагменты кода основного модуля Duqu имеют большое сходство с червем Stuxnet, нанесшим значительный урон ядерной промышленности Ирана.

Специалисты по безопасности и государственные исследователи работают сверхурочно, исследуя Duqu. Существуют опасения того, что Duqu станет новым инструментом для нанесения урона жизненно важным промышленным системам, среди которых электростанции, нефтеперерабатывающие заводы и трубопроводы.

Исследователи компании Dell SecureWorks заявляют, что, несмотря на существующее сходство, Duqu и Stuxnet могли быть разработаны различными программистами. «Как Duqu, так и Stuxnet являются очень сложными программами с множеством компонентов. Вся схожесть, с точки зрения программы, состоит в компоненте «инъекции», реализованном в драйвере ядра. Пейлоады Duqu и Stuxnet существенно отличаются друг от друга», - говорится в отчете SecureWorks.

Атрибут

Duqu

Stuxnet

Метод внедрения

Неизвестен

USB (Universal Serial Bus)
PDF (Portable Document Format)

Характеристики дроппера

Устанавливает подписанные драйвера ядра для того, чтобы расшифровать и загрузить DLL файлы.

Устанавливает подписанные драйвера ядра для того, чтобы расшифровать и загрузить DLL файлы.

Кол-во использований в атаках нулевого дня

Неизвестно

Четыре

Управление

HTTP, HTTPS, Другое

HTTP

Самораспространение

Неизвестно

P2P (Peer to Peer) с использованием RPCs
(Remote Procedure Call)
Сетевые диски
WinCC Databases (Siemens)

Утечка данных

Используется в качестве дополнения, использует кейлоггер для хищения системных и пользовательских данных

Встроенный механизм. Используется для определения версий и обновления вредоносного ПО

Триггеры по дате

Самоуничтожается через 36 дней

Жестко указано в коде, событие наступает между:
19790509 => 20120624

Взаимодействие с системами контроля

Нет

Отлично взаимодействует с системами контроля Siemens SCADA

Как сообщают исследователи, функционал «инъекции», применяемый вирусами для загрузки динамических библиотек в определенные процессы не является уникальным и применяется также другими программными продуктами. Компоненты и функции, встречающиеся в обеих троянских программах, также не являются принципиально новыми, и могли быть разработаны различными группами разработчиков.

С данными SecureWorks можно ознакомиться по этому адресу:
http://www.secureworks.com/research/threats/duqu/


или введите имя

CAPTCHA