Vše co jste chtěli vědět o hrozbě Duqu, ale báli jste se zeptat

Jakub Jiříček , 19. leden 2012 10:48 0 komentářů
 Vše co jste chtěli vědět o hrozbě Duqu, ale báli jste se zeptat

Devatenáctého října letošního roku zveřejnila společnost Symantec analýzu nové bezpečnostní hrozby zvané Duqu. Zdá se, že jde o prostředníka budoucích útoků typu Stuxnet. Části škodlivého kódu Duqu jsou téměř identické s červem Stuxnet. Jediným účelem nového malwaru je získání informací, jež mohou potenciální útočníci využít ke svým dalším aktivitám. Duqu se nešíří masově, ale je vysoce zacílen na dodavatele průmyslových systémů.

Minimálně v jedné napadené organizaci měl instalační soubor Duqu podobu dokumentu programu Microsoft Word. Ke spuštění škodlivého kódu využil do té doby neznámou bezpečnostní zranitelnost. Ve chvíli, kdy byl dokument otevřen, došlo k instalaci hlavních částí Duqu. Společnost Microsoft o zranitelnosti ví a pracuje na jejím odstranění.

Malware Duqu byl poprvé zaznamenán u malé skupiny evropských organizací. Nejprve jej analyzovalo budapešťské pracoviště Laboratory of Cryptography and System Security.

Jak „virus“ Duqu funguje

Stuxnet byl navržen tak, aby přeprogramoval průmyslové řídící systémy. Zaměřoval se především na hardware využívaný k řízení produkčních prostředí typu elektráren nebo rafinerií. Duqu instaluje program pro snímání úderů kláves a získává tak citlivé informace z nakažených počítačů.

Ačkoli Duqu využívá některé shodné části kódu s červem Stuxnet, jeho poslání není destruktivní. Jde v podstatě o trojského koně, který umožňuje vzdálený přístup. Sám se nereplikuje, ani nešíří. To mimo jiné znamená, že nejde o červa.

Původně byly objeveny dvě varianty malwaru Duqu. Další identifikovala později společnost Symantec.

Trojan Duqu se skládá z instalačního souboru, ovladače, knihovny DLL a konfigurátoru. Podobně jako Stuxnet se maskuje jako legitimní kód, k čemuž využívá ovladač podepsaný platným digitálním certifikátem. Ten původně používala jedna tchajwanská firma, která jej po zjištění zneužití zneplatnila 14. října letošního roku.

Útoky s pomocí Duqu a jeho variant začaly již v prosinci minulého roku. Na základě zjištění kompilačních časů to zjistila společnost Symantec.

Ilustrační foto: mědené kabely ADSL infrastruktury (majitel: Telefónica O2 ČR, foto: Karel Wolf)
Ilustrační foto: mědené kabely ADSL infrastruktury (majitel: Telefónica O2 ČR, foto: Karel Wolf)
Duqu využívá protokoly HTTP a HTTPS ke komunikaci se dvěma známými servery C&C neboli command-and-control, které jsou nyní neaktivní. Útočníci z nich byli schopni stáhnout další spustitelné kódy. Šlo o programy přezdívané infostealer neboli zloději informací. S jejich pomocí mohli například zjistit systémové informace, obstarat si záznamy stisků kláves nebo vygenerovat seznam používaných sítí. Zcizené údaje byly uloženy ve formě zašifrovaných a zkomprimovaných lokálních souborů. Následně došlo k jejich exportu do vnějšího prostředí. Duqu využívá vlastní protokol C&C, s jehož pomocí stahuje nebo naopak odesílá soubory, které mají zdánlivě podobu obrázků formátu JPG. Společně s nimi jsou ovšem zašifrována a přenášena i další data.

Duqu je nakonfigurován pro 30 nebo 36denní provoz. Poté se automaticky odstraní ze systému.

Infekce trojanem Duqu byla potvrzena minimálně v šesti nadnárodních organizacích z osmi zemí – Francie, Nizozemsko, Švýcarsko, Ukrajina, Indie, Írán, Súdán a Vietnam.

Koho Duqu ohrožuje?

Duqu není přímo zaměřen na průmyslové řídící systémy. Současně s jeho identifikací se objevily obavy z následných kybernetických útoků na systémy kritické infrastruktury, mezi něž patří například elektrárenské bloky, zařízení na úpravu vody nebo chemické provozy.

Stuxnet, který v minulém roce infikoval desítky tisíc počítačů, se stal celosvětovou senzací. Společnost Symantec odhalila, že byl navržen pro sabotáže techniky využívané pro obohacování uranu v íránských jaderných zařízeních. A pravděpodobně průmyslový sektor není jediným cílem nového malwaru Duqu. Identifikovali několik oblastí mimo tato odvětví, které se rovněž mohou stát budoucím cílem útoků.

Koho varovat? Na základě znalostí historie červa Stuxnet, schopností útočníků a známých cílů by měli zbystřit všichni dodavatelé řešení pro průmyslová zařízení, zejména výrobci průmyslových řídících systémů. Důležitý obranný a preventivní krok, který jako první přichází do úvahy, má podobu auditu sítí na přítomnost Duqu.

Chraňte své privátní klíče

V rámci vyšetřování, které provedla společnost Symantec, vyšlo najevo, že některé soubory spojené s Duqu byly označeny ukradenými privátními klíči. Tvůrci trojanu je zcizili organizaci, jejíž systémy zjevně kompromitovali. Privátní klíč byl spojen s certifikátem, který patřil postiženému zákazníkovi.

I když není známo, jak došlo ke kompromitování tohoto konkrétního klíče, společnost Symantec nabízí několik doporučení pro jejich lepší ochranu:

  • Oddělte testovací podpisy od finálních. Jde o nejlepší postup tvorby paralelní infrastruktury pro podepisování kódů. Jsou při něm využívány interní certifikační autority, které vydávají zkušební značky. Organizace si může být jistá, že její kritické podnikové soukromé certifikáty nefigurují v nezabezpečených systémech určených pro vývoj softwaru. Tím se snižuje pravděpodobnost jejich odcizení a zneužití.

  • Šifrovací hardwarové moduly. Klíče uložené v aplikacích na počítačích, jež jsou určeny k obecnému použití, mají vyšší pravděpodobnost zcizení. Lepší postup spočívá v jejich uchovávání v samostatných hardwarových a zabezpečených zařízeních specializovaných na kryptografii.

  • Fyzická bezpečnost. Neexistuje bezpečí bez přítomnosti fyzického zabezpečení. Pokud může vnější útočník nebo interní škůdce přistoupit k ověřovacím klíčům, potom je veškeré šifrování k ničemu. Kamery, stráže, snímače otisků prstů a další ochranné prvky slouží k zajištění kritického majetku organizace. Měly by být brány velmi vážně.

    Co říci na závěr?

    Stuxnet se stal prvním škodlivým kódem, který má hluboké politické a sociální souvislosti. Z komplexnosti této hrozby se odborníci v oblasti bezpečnosti mohou mnoho naučit. Změnila i pohled na svět škodlivých kódů. Příběh nyní pokračuje s trojanem Duqu, který obstarává informace pro další budoucí podobné útoky.

Jakub Jiříček

Jakub Jiříček

Autor pracuje jako bezpečnostní konzultant společnosti Symantec.


Komentáře


RSS 

Komentujeme

Sinclair, Jobs a Watson

Richard Jan Voigts , 31. prosinec 2016 08:00
Richard Jan Voigts

ZX Spectrum byla hračka, kterou nám dal před l...

Více





Kalendář

06. 02.

07. 02.
konference G2B TechEd
15. 02. IDC Predictions 2017
22. 02. IT mezi paragrafy
RSS 

Zprávičky

Reuters: Hlavní příčinou potíží telefonů Galaxy Note 7 je baterie

ČTK , 16. leden 2017 14:00

Hlavní příčinou samovzněcování některých chytrých telefonů Galaxy Note 7 byla baterie. Podle zdroje ...

Více 0 komentářů

Facebook v Německu spustí systém pro ověřování pravdivosti zpráv

ČTK , 16. leden 2017 07:00

Internetová sociální síť Facebook v příštích týdnech zavede v Německu systém pro ověřování pravdivos...

Více 0 komentářů

Yahoo Japan zvažuje třídenní víkend, chce zaměstnance motivovat

ČTK , 15. leden 2017 15:00

Japonská internetová společnost Yahoo Japan zvažuje, že by do roku 2020 zavedla třídenní víkend. Chc...

Více 0 komentářů

Starší zprávičky

Uber se dohodl s Google na využití jeho map

ČTK , 15. leden 2017 12:32

Internetová firma Google nově propojila své mapy s poskytovatelem přeprav Uber. S novou aktualizací ...

Více 1 komentářů

Fakulta elektrotechnická ČVUT v Praze představí zájemcům o studium moderní techniku i její historii

ITBiz.cz , 14. leden 2017 16:30

Fakulta elektrotechnická ČVUT v Praze pořádá v pátek 20. ledna od 8.30 hodin první letošní Den otevř...

Více 0 komentářů

Čína chce zakázat elektrošoky pro mládež závislou na internetu

ČTK , 14. leden 2017 13:35

Čínská vláda chce zákonem zakázat používání elektrošoků a dalších fyzických trestů v táborech pro zá...

Více 5 komentářů

Za internetový prodej ohrožených brouků soud udělil podmínku

ČTK , 13. leden 2017 15:00

Český soud poprvé potrestal prodejce, který na internetu nabízel ohrožené druhy hmyzu. Jedenatřiceti...

Více 0 komentářů