Эксперты «Лаборатории Касперского» продолжают исследование новой вредоносной программы Duqu, имеющей общие черты с известным «промышленным» червем Stuxnet. Хотя реальную цель создателей новой киберугрозы еще только предстоит выяснить, уже сейчас эксперты сходятся во мнении, что Duqu является универсальным инструментом для проведения целевой атаки на ограниченное число объектов, причем в каждом случае он может быть модифицирован в зависимости от задачи.
На первом этапе исследования специалисты выявили несколько особенностей Duqu. Во-первых, в каждой модификации вредоносной программы использовался видоизмененный драйвер, необходимый для заражения системы. В одном из случаев он задействовал поддельную цифровую подпись, в других — не был подписан. Во-вторых, стала очевидной высокая вероятность наличия и других элементов Duqu, которые пока не найдены. Все это позволило сделать вывод о том, что возможности данной вредоносной программы могут быть изменены в зависимости от того, какая именно цель является объектом атаки.
Малое количество заражений (всего одно на момент публикации первой части исследования «Лаборатории Касперского») серьезно отличает Duqu от Stuxnet, с которым у нового зловреда есть явные сходства. За время, прошедшее с момента обнаружения вредоносной программы, с помощью облачной системы безопасности Kaspersky Security Network удалось выявить новые случаи заражения. Одно из них было зафиксировано у пользователя в Судане, еще три — в Иране.
В каждом из случаев использовалась уникальная модификация драйвера, необходимого для заражения системы. Более того, на компьютере пользователя из Ирана, были также зафиксированы две попытки сетевых атак через уязвимость, которая ранее использовалась и Stuxnet, и вредоносной программой Kido. Инциденты произошли 4 и 16 октября, и в обоих случаях атака проводилась с одного IP-адреса, формально принадлежащего американскому интернет-провайдеру. Если одиночную атаку можно было бы «списать» на обычную активность Kido, по-прежнему широко распространенного в Сети вируса, то факт ее повторения говорит о том, что речь идет именно о таргетированной атаке на объект в Иране. Возможно, в ходе атаки были задействованы и другие уязвимости в программном обеспечении.
После того, как были обнаружены несколько вариантов Duqu, эксперты «Лаборатории Касперского» начали в режиме реального времени отслеживать попытки заражения пользователей новой вредоносной программой. За первые сутки после начала детектирования Duqu был зафиксирован единственный реальный случай заражения системы, причем обнаружить удалось только основной модуль, который не имеет вредоносной функциональности. В то же время Stuxnet привел к десяткам тысяч заражений по всему миру, хотя и, предположительно, был направлен на единственную цель в Иране.
Одной из пока не раскрытых тайн Duqu является изначальный способ проникновения в систему: инсталлятор или «дроппер», необходимый для этого, пока не обнаружен. Поиски этого элемента Duqu продолжаются, и именно он способен помочь выявить реальную цель данной вредоносной программы.
«Несмотря на то, что ряд пострадавших от Duqu систем находятся в Иране, пока нет доказательств их принадлежности к промышленным объектам, тем более ядерным.
Подробные результаты нового исследования Duqu доступны на сайте www.securelist.com/ru.