Vše co jste chtěli vědět o hrozbě Duqu, ale báli jste se zeptat

Jakub Jiříček , 19. leden 2012 10:48 0 komentářů
 Vše co jste chtěli vědět o hrozbě Duqu, ale báli jste se zeptat

Devatenáctého října letošního roku zveřejnila společnost Symantec analýzu nové bezpečnostní hrozby zvané Duqu. Zdá se, že jde o prostředníka budoucích útoků typu Stuxnet. Části škodlivého kódu Duqu jsou téměř identické s červem Stuxnet. Jediným účelem nového malwaru je získání informací, jež mohou potenciální útočníci využít ke svým dalším aktivitám. Duqu se nešíří masově, ale je vysoce zacílen na dodavatele průmyslových systémů.

Minimálně v jedné napadené organizaci měl instalační soubor Duqu podobu dokumentu programu Microsoft Word. Ke spuštění škodlivého kódu využil do té doby neznámou bezpečnostní zranitelnost. Ve chvíli, kdy byl dokument otevřen, došlo k instalaci hlavních částí Duqu. Společnost Microsoft o zranitelnosti ví a pracuje na jejím odstranění.

Malware Duqu byl poprvé zaznamenán u malé skupiny evropských organizací. Nejprve jej analyzovalo budapešťské pracoviště Laboratory of Cryptography and System Security.

Jak „virus“ Duqu funguje

Stuxnet byl navržen tak, aby přeprogramoval průmyslové řídící systémy. Zaměřoval se především na hardware využívaný k řízení produkčních prostředí typu elektráren nebo rafinerií. Duqu instaluje program pro snímání úderů kláves a získává tak citlivé informace z nakažených počítačů.

Ačkoli Duqu využívá některé shodné části kódu s červem Stuxnet, jeho poslání není destruktivní. Jde v podstatě o trojského koně, který umožňuje vzdálený přístup. Sám se nereplikuje, ani nešíří. To mimo jiné znamená, že nejde o červa.

Původně byly objeveny dvě varianty malwaru Duqu. Další identifikovala později společnost Symantec.

Trojan Duqu se skládá z instalačního souboru, ovladače, knihovny DLL a konfigurátoru. Podobně jako Stuxnet se maskuje jako legitimní kód, k čemuž využívá ovladač podepsaný platným digitálním certifikátem. Ten původně používala jedna tchajwanská firma, která jej po zjištění zneužití zneplatnila 14. října letošního roku.

Útoky s pomocí Duqu a jeho variant začaly již v prosinci minulého roku. Na základě zjištění kompilačních časů to zjistila společnost Symantec.

Ilustrační foto: mědené kabely ADSL infrastruktury (majitel: Telefónica O2 ČR, foto: Karel Wolf)
Ilustrační foto: mědené kabely ADSL infrastruktury (majitel: Telefónica O2 ČR, foto: Karel Wolf)
Duqu využívá protokoly HTTP a HTTPS ke komunikaci se dvěma známými servery C&C neboli command-and-control, které jsou nyní neaktivní. Útočníci z nich byli schopni stáhnout další spustitelné kódy. Šlo o programy přezdívané infostealer neboli zloději informací. S jejich pomocí mohli například zjistit systémové informace, obstarat si záznamy stisků kláves nebo vygenerovat seznam používaných sítí. Zcizené údaje byly uloženy ve formě zašifrovaných a zkomprimovaných lokálních souborů. Následně došlo k jejich exportu do vnějšího prostředí. Duqu využívá vlastní protokol C&C, s jehož pomocí stahuje nebo naopak odesílá soubory, které mají zdánlivě podobu obrázků formátu JPG. Společně s nimi jsou ovšem zašifrována a přenášena i další data.

Duqu je nakonfigurován pro 30 nebo 36denní provoz. Poté se automaticky odstraní ze systému.

Infekce trojanem Duqu byla potvrzena minimálně v šesti nadnárodních organizacích z osmi zemí – Francie, Nizozemsko, Švýcarsko, Ukrajina, Indie, Írán, Súdán a Vietnam.

Koho Duqu ohrožuje?

Duqu není přímo zaměřen na průmyslové řídící systémy. Současně s jeho identifikací se objevily obavy z následných kybernetických útoků na systémy kritické infrastruktury, mezi něž patří například elektrárenské bloky, zařízení na úpravu vody nebo chemické provozy.

Stuxnet, který v minulém roce infikoval desítky tisíc počítačů, se stal celosvětovou senzací. Společnost Symantec odhalila, že byl navržen pro sabotáže techniky využívané pro obohacování uranu v íránských jaderných zařízeních. A pravděpodobně průmyslový sektor není jediným cílem nového malwaru Duqu. Identifikovali několik oblastí mimo tato odvětví, které se rovněž mohou stát budoucím cílem útoků.

Koho varovat? Na základě znalostí historie červa Stuxnet, schopností útočníků a známých cílů by měli zbystřit všichni dodavatelé řešení pro průmyslová zařízení, zejména výrobci průmyslových řídících systémů. Důležitý obranný a preventivní krok, který jako první přichází do úvahy, má podobu auditu sítí na přítomnost Duqu.

Chraňte své privátní klíče

V rámci vyšetřování, které provedla společnost Symantec, vyšlo najevo, že některé soubory spojené s Duqu byly označeny ukradenými privátními klíči. Tvůrci trojanu je zcizili organizaci, jejíž systémy zjevně kompromitovali. Privátní klíč byl spojen s certifikátem, který patřil postiženému zákazníkovi.

I když není známo, jak došlo ke kompromitování tohoto konkrétního klíče, společnost Symantec nabízí několik doporučení pro jejich lepší ochranu:

  • Oddělte testovací podpisy od finálních. Jde o nejlepší postup tvorby paralelní infrastruktury pro podepisování kódů. Jsou při něm využívány interní certifikační autority, které vydávají zkušební značky. Organizace si může být jistá, že její kritické podnikové soukromé certifikáty nefigurují v nezabezpečených systémech určených pro vývoj softwaru. Tím se snižuje pravděpodobnost jejich odcizení a zneužití.

  • Šifrovací hardwarové moduly. Klíče uložené v aplikacích na počítačích, jež jsou určeny k obecnému použití, mají vyšší pravděpodobnost zcizení. Lepší postup spočívá v jejich uchovávání v samostatných hardwarových a zabezpečených zařízeních specializovaných na kryptografii.

  • Fyzická bezpečnost. Neexistuje bezpečí bez přítomnosti fyzického zabezpečení. Pokud může vnější útočník nebo interní škůdce přistoupit k ověřovacím klíčům, potom je veškeré šifrování k ničemu. Kamery, stráže, snímače otisků prstů a další ochranné prvky slouží k zajištění kritického majetku organizace. Měly by být brány velmi vážně.

    Co říci na závěr?

    Stuxnet se stal prvním škodlivým kódem, který má hluboké politické a sociální souvislosti. Z komplexnosti této hrozby se odborníci v oblasti bezpečnosti mohou mnoho naučit. Změnila i pohled na svět škodlivých kódů. Příběh nyní pokračuje s trojanem Duqu, který obstarává informace pro další budoucí podobné útoky.

Jakub Jiříček

Jakub Jiříček

Autor pracuje jako bezpečnostní konzultant společnosti Symantec.


Komentáře

RSS 

Komentujeme

Intel Inside aneb všichni jsme načipováni

Petr Zavoral , 10. prosinec 2017 18:20
Petr Zavoral

V Havlově hře Audience přesvědčuje Sládek Ferdinanda Vaňka, aby donášel sám na sebe. Z pohledu letoš...

Více







Kalendář

09. 01.

13. 01.
CES 2018
18. 01.

19. 01.
itSMF 2018
29. 01.

30. 01.
G2BTechEd
RSS 

Zprávičky

APEK: Dnes obrat za miliardu?

Pavel Houser , 11. prosinec 2017 13:04

Právě dnes očekává Asociace pro elektronickou komerci (APEK) vrchol objednávek vánočních dárků na in...

Více 0 komentářů

Termínový kontrakt na bitcoin při debutu stoupl až na 18 700 dolarů

ČTK , 11. prosinec 2017 10:39

Termínový kontrakt na internetovou měnu bitcoin při svém debutu ve Spojených státech zpevnil o více ...

Více 0 komentářů

Western Digital zruší arbitráž proti Toshibě

ČTK , 11. prosinec 2017 08:00

Japonská společnost Toshiba a americká firma Western Digital se v zásadě dohodly na urovnání sporu o...

Více 0 komentářů

Starší zprávičky

Spotify a Tencent se propojují

ČTK , 10. prosinec 2017 08:00

Přední světová služba pro streamování hudby Spotify a čínská konkurenční firma Tencent Music Enterta...

Více 0 komentářů

Bezpečnostní politika firem brání plně využít potenciál IoT

Pavel Houser , 09. prosinec 2017 08:00

Tři čtvrtiny účastníků průzkumu EY Global Information Security Survey 2017 pokládají za nejpravděpod...

Více 4 komentářů

Globální výdaje na bezpečnost IT porostou v příštím roce o 8 % na 96 miliard dolarů

Pavel Houser , 08. prosinec 2017 10:57

Nejrychleji porostou řešení SIEM, testování IT bezpečnosti a její outsourcing. ...

Více 1 komentářů

Soud EU: Luxusní značky mohou zakázat internetový prodej zboží

ČTK , 08. prosinec 2017 10:00

Oponenti poukazují na to, že omezení prodejů jde proti hospodářské soutěži....

Více 2 komentářů