Młodszy brat Stuxneta

Rozpracowanie Stuxneta wbrew pozorom nie było takie trudne. Zdaniem ekspertów jego kod był słabo zabezpieczony. Głównie dlatego, że posiadał podstawowe metody unikania detekcji przez skanery heurystyczne i nawet nie posiłkował się zaciemnieniem kodu, zupełnie jakby zamierzeniem twórców było to, by został on szybko wykryty. W niedługim czasie pojawiły skuteczne metody wykrywania i usuwania Stuxneta i temat na chwilę przycichł. Jednak w niedługim czasie pojawił się Duqu. Po analizie porównawczej kodu okazało się, że jest to malware stworzone przez autorów Stuxneta.

Duqu sprytnie wykorzystywał do ataku nieznaną wcześniej lukę i exploitowal kernel systemów Windows. Ta luka to błąd parsowania czcionek typu TrueType, które z niewiadomego powodu przetwarzane były w ringO (kernel) MS. Malware instalował się jako podpisany cyfrowo sterownik jądra -jako sterownik firmy JMicron, a do podpisu używał skradzionych kluczy prywatnych firmy C-Media Electronics.

 Cel – wykradanie danych!

Warto zaznaczyć, że Duqu nie atakował systemów SCADA i nie poszukiwał sterowników PLC. Było to narzędzie stworzone do przeprowadzenia ataku ukierunkowanego na systemy wykorzystywane w przemyśle. Jego główny cel to wykradanie danych z komputerów, które zbierał w postaci zrzutów ekranu i przesyłał w zaszyfrowanej transmisji na zdalny serwer. Niektórzy mylnie sądzili, że jego zadaniem był sabotaż.

Jest jednak coś co łączyło Stuxneta i Duqu. Oba były wymierzone w państwa Azji: Iran, Sudan, Indie i inne. Nie wiemy, do czego mogły służyć wykradzione dane, tak jak nie wiemy, jakie informacje wyciekły.

Gdzie zatem znajdowały się antywirusy?

Duqu atakował przez ringO, a więc na poziomie jądra operacyjnego systemu – poziomie, do którego skanery antywirusowe zwyczajnie nie mają dostępu.