Подробиці про Duqu: виявлені спрямовані атаки на об'єкти в Ірані та Судані
Рейтинг статті: / 1
НайгіршеНайкраще 
Неділя, 30 жовтня 2011, 19:34
вірус DuquЕксперти «Лабораторії Касперського» продовжують дослідження нової шкідливої програми Duqu, що має спільні риси із сумно відомим «промисловим» хробаком Stuxnet.
Хоча реальну мету творців нової кіберзагрози ще тільки належить з'ясувати, вже зараз експерти сходяться на думці, що Duqu є універсальним інструментом для проведення цільової атаки на обмежене число об'єктів, причому в кожному випадку він може бути модифікований в залежності від завдання.
На першому етапі дослідження фахівці «Лабораторії Касперського» виявили кілька особливостей Duqu. По-перше, в кожній модифікації шкідливої програми використовувався видозмінений драйвер, необхідний для зараження системи. В одному з випадків він задіяв підроблений цифровий підпис, в інших - не був підписаний. По-друге, стала очевидною висока ймовірність наявності й інших елементів Duqu, які поки не знайдені. Все це дозволило зробити висновок про те, що можливості цієї шкідливої програми можуть бути змінені в залежності від того, яка саме мета є об'єктом атаки.
Мала кількість заражень (всього одне на момент публікації першої частини дослідження «Лабораторії Касперського») серйозно відрізняє Duqu від Stuxnet, з яким у нового зловреда є явні схожості. За час, що минув з моменту виявлення шкідливої програми, за допомогою хмарної системи безпеки Kaspersky Security Network вдалося виявити нові випадки зараження. Одне з них було зафіксовано у користувача в Судані, ще три - в Ірані.
У кожному з випадків використовувалася унікальна модифікація драйвера, необхідного для зараження системи. Більш того, на комп'ютері користувача з Ірану, були також зафіксовані дві спроби мережевих атак через уразливість, яка раніше використовувалася і Stuxnet, і шкідливою програмою Kido. Інциденти сталися 4 і 16 жовтня, і в обох випадках атака проводилася з однієї IP-адреси, яка формально належить американському інтернет-провайдера. Якщо одиночну атаку можна було б «списати» на звичайну активність Kido - вірусу, який і раніше був широко розповсюджений в Мережі, то факт її повторення говорить про те, що мова йде саме про таргетовану атаку на об'єкт в Ірані. Можливо, в ході атаки були задіяні й інші уразливості в програмному забезпеченні.
(Джерело RU: ixbt.com)
 
>
КнигаНовиниПрактика пошукуПартнериПро нас
Підтримка та дизайн: Могильний С.С. Шаблон: Joomla Templates by BuyHTTP Joomla Hosting