Červ Stuxnet, možná nejsofistikovanější kybernetická hrozba posledního desetiletí, se dočkal nástupce. Společnost McAfee získala od týmu nezávislých výzkumníků sadu útočných kódů, které jsou odvozeny z kódů červa Stuxnet. Malware používá ovladače a šifrované knihovny DLL s obdobnou funkcionalitou jako Stuxnet, obdobné jsou rovněž použité šifrovací klíče. Některé funkce malwaru DuQu se od Stuxnetu odlišují, hlavní rozdíl je však v cílech útočníků.
Na rozdíl od Stuxnetu není DuQu navržen za účelem sabotáže systémů řídících průmyslové procesy (infekce červem Stuxnet poškodila mj. odstředivky používané v Íránu pro obohacování uranu), ale především pro útoky na weby certifikačních autorit. Další cílem malwaru DuQu je špionáž – zejména krádeže duševního vlastnictví z informačních systémů průmyslových podniků. Společnost McAfee doporučuje, aby především firmy poskytující certifikační autoritu ověřily, zda jejich systémy nebyly narušeny tímto útokem.
Malware DuQu je ovládán pomocí šifrovaného konfiguračního souboru. Pokouší se komunikovat s řídicím serverem v Indii, příslušná IP adresa řídicího serveru byla však již zařazena na black list a v tuto chvíli nefunguje. DuQu může na zasaženém počítači instalovat další škodlivé kódy, odhalen byl související keylogger (program zaznamenávající stisky kláves). Malware se před odhalením bezpečnostními programy může skrývat pomocí funkcionality rootkitu.
Společnost McAfee detekuje malware DuQu jako PWS-Duqu, PWS-Duqu.dr a PWS-Duqu! Rootkit. Názvy ovladačů, které DuQu používá, mohou být cmi4432.sys a jminet7.sys. Příslušné soubory mohou předstírat, že jsou podepsány digitálním certifikátem společnosti C-Media Electronics, tento certifikát by však již měl být neplatný.
Podrobnější informace naleznete na blogu společnosti McAfee:
PŘEDPLATNÉ
ČLÁNKY DO MAILU