• Новости
  • » Новости компании
  • » Мировые события
• Продукты
  • » Список продуктов
  • » Security Suite
  • » Autorun Manager
  • » Proactive Defense
  • » Personal Firewall
  • » Партнерство
  • » OEM партнерство
  • » Утилиты
  • » Скачать
• Компания
  • » О компании
  • » История
  • » Форум
  • » Контактная информация
• Работа
  • » Как мы работаем
  • » Где мы работаем
  • » Наши преимущества
  • » Наши вакансии

Новости компании

• Мировые события

Зловред, произошедший от червя Stuxnet, заражает создателей SCADA

19 октября, 2011

Компании, вовлеченные в создание систем для контроля над нефтепроводами и другой критической инфраструктурой, были заражены вредоносным ПО, произошедшим напрямую от Stuxnet, целью которого была иранская ядерная программа.

Исследователи из компании Symantec написали в этот вторник в блоге, что части нового зловреда почти идентичны Stuxnet, и что он был написан авторами знаменитого червя, либо людьми, которые имели прямой доступ к исходному коду Stuxnet.

Один из вариантов Duqu был разработан не позднее этого месяца, а другой, возможно, тайком заражал цели уже с декабря, сказал в интервью Кевин Хэйли, директор по управлению продуктами компании Symantec. Исследователи все еще анализируют сложный троян на предмет выяснения его точной миссии и целей, но его открытие само по себе имеет большую важность, поскольку он был нацелен на группы, задействованные в создании промышленных систем контроля, и повторно использовал код, который был доступен лишь авторам Stuxnet.

“Люди, которые стоят за Stuxnet, еще не закончили свое дело”, - сказал он. “Они стали создавать другое вредоносное ПО. Это был не одноразовый случай”.

Хэйли отказался назвать конкретные цели нового трояна, но, согласно блогу Symantec, образец Duqu был обнаружен на компьютерных системах, находящихся в Европе, у ограниченного числа организаций, включая те, что занимаются созданием промышленных систем контроля. Такие SCADA, или системы диспетчерского контроля и сбора данных, используются для того, чтобы открывать и закрывать клапаны и контролировать работу оборудования и других физических функций на фабриках, нефтеперерабатывающих заводах и других промышленных организациях, многие из которых считаются критически важными для государственной безопасности.

Обнаружение трояна произошло спустя чуть более года после обнаружения Stuxnet, червя, забравшегося в тысячи промышленных систем по всему миру и разрабатывавшегося как оружие для саботирования иранской ядерной программы. За период более 10 месяцев эта изощренная программа проникла в многочисленные заводы по обогащению урана и привела к поломке центрифуг.

Исследователи все еще определяют точное поведение Duqu, но пока не нашли ничего, чтобы заставляло его саботировать операции своих жертв. Вместо этого, похоже, Duqu выполняет миссию по тихой разведке и шлет полученные данные и активы на сервер. Судя по всему, собранная информация должна облегчить операторам проведение в будущем атак против сторонних целей, которые Symantec не назвал.

Хэйли также отметил, что Duqu содержит части исходного кода из последнего известного образца Stuxnet, который был обнаружен в марте. Запись одного из двоичных кодов произошла 1 сентября, и существует доказательство того, что атаки, использующие его варианты, могли происходить уже с декабря. Если это правда, то значит, что разработка и использование Duqu происходят уже почти год или даже дольше.

В отличие от Stuxnet, который распространялся от цели к цели, у Duqu нет движка саморепликации. Он настроен таким образом, что работает в течение 36 дней, и затем удаляется с зараженной цели.

Исследователи Symantec опубликовали подробное техническое описание Duqu здесь. А исследователи из F-Secure и McAfee опубликовали свои доклады здесь и здесь, которые во много вторят находкам Symantec.

“Сходство кодов Duqu и Stuxnet очевидно”, - написал Микко Хиппонен из F-Secure. “Драйвер ядра Duqu (JMINET7.SYS) настолько схож с драйвером Stuxnet (MRXCLS.SYS), что наши системы решили, что это и есть Stuxnet”.

Другим доказательством связи Stuxnet и Duqu служит то, что они оба использовали украденный у тайваньской компании C-Media Electronics цифровой сертификат для подписи сопутствующего драйвера. Создатели Stuxnet также использовали краденые цифровые ключи, принадлежавшие двум другим компаниям из Тайваня, которые работают в том же деловом районе, что и C-Media, сказали исследователи McAfee.

Несмотря на то, что некие свидетельства связали Stuxnet с США и Израилем, его точные цели до сих пор остаются загадкой. Обнаружение произошедшего от Stuxnet трояна, активно атакующего свежие цели, лишь добавляет интриги. Можно с уверенностью сказать, что мы еще услышим о Duqu в ближайшие дни и недели.

Xakep.ru

←      →

Мировые события