Помнится, некоторое время назад новостные ресурсы запестрели заголовками об опаснейшем черве Stuxnet, который поражал специализированное программное обеспечение специфического оборудования АЭС (помнится, под раздачу попадали контроллеры от Siemens). Так вот, сейчас эксперты из Symantec обнаружили родственное червю Stuxnet зловредное ПО, уже получившее название Duqu. По мнению экспертов, этот червь не будет использовать тактику Stuxnet, выбирая несколько иные объекты для поражения. Duqu предназначен для кражи разного рода информации с промышленных объектов. Новый червь был обнаружен только на этой неделе, и специалисты только начали работать с этим ПО.

Интересный экземпляр нашли давеча наши аналитики, его тут же окрестили вторым Stuxnetом.
W32.Duqu — новый суперчервь, который может втихую по-шпионски собрать с зараженного компьютера нужную ему информацию:

• файлы, в т.ч. на съемных носителях
• скриншоты
• логи с клавиатуры
• список запущенных процессов
• данные учетных записей пользователей
• названия открытых окон
• сетевую информацию
• сведения о домене
• имена дисков
• и др.

передать ее куда надо… и самоликвидироваться через 36 дней.

Чем не суперсолдат?

PS: тех. подробности можно почитать тут и здесь (на английском) и в посте от marks (на хабровском)

На протяжении последних нескольких дней большое внимание приковано к вредоносной программе Win32/Duqu. Дело в том, что по особенностям своей реализации Win32/Duqu похож на широко известный Win32/Stuxnet. В прошлом году мы проводили довольно детальный анализ червя Win32/Stuxnet, в результате которого появился исследовательский отчет «Stuxnet Under the Microscope». И сейчас исследуем Win32/Duqu, изучив модули и механизмы их работы которого, можно утверждать, что эта вредоносная программа базируется на одних тех же исходных кодах или библиотеках, что и сам Win32/Stuxnet. Пожалуй, это даже не просто исходные коды, а некоторый framework для разработки вредоносных программ или кибероружия. Восстановленный код драйверов Duqu нам очень напомнил, то, что мы уже видели в Stuxnet. Эти драйверы практически идентичны с тем, что мы видели прошлой осенью.

В предыдущем посте мы уже вкратце рассказали о весьма изощренном трояне Duqu, ворующем конфиденциальную информацию компаний и самоуничтожающемся после завершения работы. На что мы получили 2 заявки
1. найти инсталляционный файл
2. найти уязвимость нулевого дня

Итак, концерт по заявкам:

Схема инфицирования Duqu

Не так давно на Хабре появилась новость о наследнике Stuxnet, черве Duqu. После нескольких недель работы корпорация Microsoft выпустила патч для своей операционной системы. Этот патч закрывает «дыру», через которую вредоносное ПО и попадает в систему. Как известно, Duqu, в первую очередь, предназначен для кражи информации на разного рода промышленных предприятиях.

Куда-то с хабры пропали ссылки. Их запретили, да? Значит я сейчас сделаю что-то нехорошее…

Лаборатория Касперского просит помощи сообщества:
«Мы хотели бы обратиться к сообществу разработчиков и попросить любого, кто знает средства разработки, языки или компиляторы, генерирующие подобный Фреймворку код, связаться с нами или оставить комментарий к посту.»

UPDATE: Ребята, мопед не мой! Нет смысла присылать догадки мне в письма — я даже передать не смогу…

Две недели назад специалисты «Лаборатории Касперского» обратились к сообществу с просьбой помочь определить язык программирования, на котором написана троянская программа Duqu. Обнаруженная в октябре 2011 года, она до сих пор ставила в тупик экспертов.

«Лаборатория Касперского» сначала обратились к экспертам по реверс-инжинирингу, но те ничем не смогли помочь. Ясно было, что язык программирования — определённо не C++, не Objective C, не Java, не Python, не Ada, не Lua и ещё не 30 других языков программирования, которые они проверили. После нескольких месяцев безуспешных попыток анализа оставалось только предположить, что ключевой фрагмент вредоносной программы написан на неком неизвестном языке.

Однако, благодаря помощи сообщества эту головоломку всё-таки удалось решить.

Stuxnet, Flame и Duqu — три самые известные программы, предположительно созданные спецслужбами в качестве «кибеоружия» против других стран. Программа Stuxnet успешно вывела из строя 80% иранских центрифуг по обогащению урана, а шпионская программа Flame несколько лет скрытно работала на иранских компьютерах, установившись как обновление Windows.

На прошлой неделе предположения об американском заказе подтвердились: выяснилось, что президент Обама лично следил за внедрением вируса Stuxnet на иранские компьютеры. Насчёт Flame и Duqu прямых доказательств пока нет. Но вряд ли приходится сомневаться, что эти программы тоже созданы по заказу американцев.

Самое интересное, что во всех трёх программах использовалась библиотека LZO, которая распространяется строго под лицензией GNU GPL.

Тема кибероружия сейчас у всех на слуху. Больше всех любят эту тему муссировать эксперты Kaspersky Lab. По их заявлениям все значимые образцы ВПО последних трех лет связаны между собой. Например, Stuxnet и Duqu. Но так ли это на самом деле? Нужно признать, что материал по Stuxnet далеко не полон. Например, отсутствует описание процедуры внедрения Stuxnet на компьютер. Похожа ли она, как заявляют сотрудники Kaspersky Lab, на аналогичную в Duqu? Ответ — не совсем. Но обо все по порядку.

Введение

1 сентября 2011, из Венгрии, на сайт VirusTotal был отправлен файл с именем ~DN1.tmp. На тот момент файл детектировался как вредоносный только двумя антивирусными движками — BitDefender и AVIRA. Так начиналась история Duqu. Забегая наперед, нужно сказать, что семейство ВПО Duqu было названо так по имени этого файла. Однако этот файл является полностью самостоятельным шпионским модулем с функциями кейлоггера, установленного, вероятно, с помощью вредоносного загрузчика-дроппера, и может рассматриваться только в качестве «полезной нагрузки», загруженной ВПО Duqu в процессе своей работы, но не составной частью (модулем) Duqu. Один из компонентов Duqu был отправлен на сервис Virustotal только 9 сентября. Его отличительная особенность — это драйвер, подписанный цифровой подписью компании C-Media. Некоторые эксперты тут же принялись проводить аналогии с другим знаменитым образцом ВПО — Stuxnet, который тоже использовал подписанные драйверы. Общее количество зараженных Duqu компьютеров, обнаруженными различными антивирусными компаниями по всему миру, исчисляется десятками. Многие компании утверждают, что опять главная цель — Иран, однако судя по географии распределения заражений, этого нельзя утверждать наверняка.

В данном случае следует уверенно говорить только об очередной компании с новомодным словом APT (advanced persistent threat).

Анализируя «знаковые» угрозы, можно отметить, что с 2010 года были обнаружены следующие вредоносные программы с ярлыком «кибероружие»:

• июль 2010 — Stuxnet, обнаружен ВирусБлокАда;
• октябрь 2011 — Duqu, обнаружен Kaspersky Lab;
• март 2012 — Wiper, Kaspersky Lab обнаружил следы;
• апрель 2012 — Flame, обнаружен Kaspersky Lab;
• август 2012 — Gauss, обнаружен Kaspersky Lab;
• октябрь 2012 — MiniFlame, обнаружен Kaspersky Lab.

В добавок к ним несколько образцов поменьше калибром:

• июль 2012 — Madi, обнаружен Kaspersky Lab;
• август 2012 — Shamoon, обнаружен Kaspersky Lab;
• ноябрь 2012 — Narilam, обнаружен Symantec.

Вчера наши аналитики добавили в базу новые записи в рамках обновления 11766: Win64/Duqu.AA, Win64/Duqu.AB, Win32/Duqu.D, Win32/Duqu.E. Записи относятся к 64- и 32-битным версиям файлов новой версии известного вредоносного state-sponsored-ПО под названием Duqu (aka Duqu.B). Эта версия, как и предыдущая, использовалась в операциях кибершпионажа (т. н. intelligence-gathering attacks) против различных телекоммуникационных компаний, а также security-компаний (Kaspersky). С помощью нее злоумышленники пытались извлечь различные конфиденциальные данные с компьютеров корпоративных жертв.



По информации Symantec, Duqu.B использовался для кибератак на телекоммуникационные компании Европы, а также Северной Африки. Кроме этого, жертвами могли стать пользователи США, Великобритании, Швеции, Индии, и Гонконга.

Несколько дней назад в нашу антивирусную лабораторию поступил исполняемый PE-файл (драйвер), который содержал действительную цифровую подпись. Мы добавили его в базу как Win64/Duqu.AC. Сертификат был выдан известной тайваньской компании Foxconn (Hon Hai Precision Industry Co.), которая специализируется на производстве электроники, а также является одной из крупнейших компаний, занимающейся производством компонентов флагманских устройств таких известных компаний как Apple, Canon, Sony.



Ранее мы уже писали про эту вредоносную кампанию, в которой злоумышленники использовали новую версию state-sponsored вредоносного ПО Duqu (Duqu2, Duqu.B), а также про другие обнаружения этой вредоносной программы со стороны наших AV продуктов. Указанный драйвер имеет небольшой размер (27 448 байт) и используется атакующими для манипулирования сетевым трафиком на уровне NDIS в скомпрометированной системе.

Ну что, пришло время попробовать себя в жанре книжного обзора. Книга Countdown to Zero Day: Stuxnet and the Launch of the World's First Digital Weapon журналистки Ким Зеттер, наиболее известной благодаря своим статьям в журнале Wired, вышла достаточно давно, в ноябре 2014 года, но с тех пор так и не была переведена на русский язык (на английском доступна, например, в Amazon в электронном виде). Впрочем, дело не в переводе: историю Stuxnet можно изучать и по открытым публикациям и исследованиям специалистов по безопасности, но в этом случае вы получите ассортимент технических фактов о вредоносном коде, из которых не так-то просто сложить паззл всей истории.

«Обратный отсчет» — это удачная попытка подняться выше строчек кода, свести воедино все, что известно о первой и по сей день наиболее масштабной специализированной атаке на индустриальные системы. При этом книга не подменяет факты драмой и максимально далека от беллетристики. Ценность ее еще и в том, что она показывает процесс исследования вредоносного кода чуть более подробно, чем обычно: примерно половина текста посвящена именно этому: от обнаружения кода и идентификации атаки, до анализа уязвимостей нулевого дня и, наконец, анализа модулей, модифицирующих работу промышленных контроллеров.

С момента обнаружения Stuxnet прошло шесть лет, семь — с момента начала атаки, больше десяти, предположительно, с начала разработки. Это не единственная кибератака, направленная на саботаж в индустриальных системах, но она по-прежнему не имеет себе равных по сложности. Отчасти это хорошие новости, но причиной является не повышенная защищенность промышленных систем, а скорее смена ориентиров у заказчиков. «Обратный отсчет» — это книга об атаке, названной в свое время «блокбастером» инфобезопасности, но это еще и книга о работе исследователей — тех, кто анализирует вредоносный код и проектирует защиту от него, вне зависимости от источника атаки и намерений.

Рисков для клиентов нет, утверждает Евгений Касперский

Внутренняя корпоративная сеть «Лаборатории Касперского» подверглась атаке с использованием продвинутой платформы и нескольких неизвестных ранее уязвимостей нулевого дня, сообщает глава компании. В компании назвали эту атаку Duqu 2.0. Как утверждается в заявлении, данные клиентов и программные продукты скомпрометированы не были.