На первом этапе исследования специалисты «Лаборатории Касперского» выявили несколько особенностей Duqu. Во-первых, в каждой модификации вредоносной программы использовался видоизмененный драйвер, необходимый для заражения системы. В одном из случаев он задействовал поддельную цифровую подпись, в других – не был подписан. Во-вторых, стала очевидной высокая вероятность наличия и других элементов Duqu, которые пока не найдены. Все это позволило сделать вывод о том, что возможности данной вредоносной программы могут быть изменены в зависимости от того, какая именно цель является объектом атаки.
Малое количество заражений (всего одно на момент публикации первой части исследования «Лаборатории Касперского») серьезно отличает Duqu от Stuxnet, с которым у нового зловреда есть явные сходства. За время, прошедшее с момента обнаружения вредоносной программы, с помощью облачной системы безопасности Kaspersky Security Network удалось выявить новые случаи заражения. Одно из них было зафиксировано у пользователя в Судане, еще три – в Иране.
В каждом из случаев использовалась уникальная модификация драйвера, необходимого для заражения системы. Более того, на компьютере пользователя из Ирана, были также зафиксированы две попытки сетевых атак через уязвимость, которая ранее использовалась и Stuxnet, и вредоносной программой Kido. Инциденты произошли 4 и 16 октября, и в обоих случаях атака проводилась с одного IP-адреса, формально принадлежащего американскому интернет-провайдеру. Если одиночную атаку можно было бы «списать» на обычную активность Kido, по-прежнему широко распространенного в Сети вируса, то факт ее повторения говорит о том, что речь идет именно о таргетированной атаке на объект в Иране. Возможно, в ходе атаки были задействованы и другие уязвимости в программном обеспечении.
«Несмотря на то, что ряд пострадавших от Duqu систем находятся в Иране, пока нет доказательств их принадлежности к промышленным объектам, тем более ядерным, – комментирует Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского. – Соответственно, нельзя утверждать, что цель новой вредоносной программы – та же, что и у Stuxnet. Тем не менее, очевидно, что каждый случай заражения Duqu уникален. Собранная нами информация позволяет с уверенностью говорить о том, что Duqu используется для целевой атаки на заранее определенные объекты».
Редактор раздела: Алена Журавлева (info@mskit.ru)
Рубрики: Безопасность