Vše co jste chtěli vědět o hrozbě Duqu, ale báli jste se zeptat

Jakub Jiříček , 19. leden 2012 10:48 0 komentářů
 Vše co jste chtěli vědět o hrozbě Duqu, ale báli jste se zeptat

Devatenáctého října letošního roku zveřejnila společnost Symantec analýzu nové bezpečnostní hrozby zvané Duqu. Zdá se, že jde o prostředníka budoucích útoků typu Stuxnet. Části škodlivého kódu Duqu jsou téměř identické s červem Stuxnet. Jediným účelem nového malwaru je získání informací, jež mohou potenciální útočníci využít ke svým dalším aktivitám. Duqu se nešíří masově, ale je vysoce zacílen na dodavatele průmyslových systémů.

Minimálně v jedné napadené organizaci měl instalační soubor Duqu podobu dokumentu programu Microsoft Word. Ke spuštění škodlivého kódu využil do té doby neznámou bezpečnostní zranitelnost. Ve chvíli, kdy byl dokument otevřen, došlo k instalaci hlavních částí Duqu. Společnost Microsoft o zranitelnosti ví a pracuje na jejím odstranění.

Malware Duqu byl poprvé zaznamenán u malé skupiny evropských organizací. Nejprve jej analyzovalo budapešťské pracoviště Laboratory of Cryptography and System Security.

Jak „virus“ Duqu funguje

Stuxnet byl navržen tak, aby přeprogramoval průmyslové řídící systémy. Zaměřoval se především na hardware využívaný k řízení produkčních prostředí typu elektráren nebo rafinerií. Duqu instaluje program pro snímání úderů kláves a získává tak citlivé informace z nakažených počítačů.

Ačkoli Duqu využívá některé shodné části kódu s červem Stuxnet, jeho poslání není destruktivní. Jde v podstatě o trojského koně, který umožňuje vzdálený přístup. Sám se nereplikuje, ani nešíří. To mimo jiné znamená, že nejde o červa.

Původně byly objeveny dvě varianty malwaru Duqu. Další identifikovala později společnost Symantec.

Trojan Duqu se skládá z instalačního souboru, ovladače, knihovny DLL a konfigurátoru. Podobně jako Stuxnet se maskuje jako legitimní kód, k čemuž využívá ovladač podepsaný platným digitálním certifikátem. Ten původně používala jedna tchajwanská firma, která jej po zjištění zneužití zneplatnila 14. října letošního roku.

Útoky s pomocí Duqu a jeho variant začaly již v prosinci minulého roku. Na základě zjištění kompilačních časů to zjistila společnost Symantec.

Ilustrační foto: mědené kabely ADSL infrastruktury (majitel: Telefónica O2 ČR, foto: Karel Wolf)
Ilustrační foto: mědené kabely ADSL infrastruktury (majitel: Telefónica O2 ČR, foto: Karel Wolf)
Duqu využívá protokoly HTTP a HTTPS ke komunikaci se dvěma známými servery C&C neboli command-and-control, které jsou nyní neaktivní. Útočníci z nich byli schopni stáhnout další spustitelné kódy. Šlo o programy přezdívané infostealer neboli zloději informací. S jejich pomocí mohli například zjistit systémové informace, obstarat si záznamy stisků kláves nebo vygenerovat seznam používaných sítí. Zcizené údaje byly uloženy ve formě zašifrovaných a zkomprimovaných lokálních souborů. Následně došlo k jejich exportu do vnějšího prostředí. Duqu využívá vlastní protokol C&C, s jehož pomocí stahuje nebo naopak odesílá soubory, které mají zdánlivě podobu obrázků formátu JPG. Společně s nimi jsou ovšem zašifrována a přenášena i další data.

Duqu je nakonfigurován pro 30 nebo 36denní provoz. Poté se automaticky odstraní ze systému.

Infekce trojanem Duqu byla potvrzena minimálně v šesti nadnárodních organizacích z osmi zemí – Francie, Nizozemsko, Švýcarsko, Ukrajina, Indie, Írán, Súdán a Vietnam.

Koho Duqu ohrožuje?

Duqu není přímo zaměřen na průmyslové řídící systémy. Současně s jeho identifikací se objevily obavy z následných kybernetických útoků na systémy kritické infrastruktury, mezi něž patří například elektrárenské bloky, zařízení na úpravu vody nebo chemické provozy.

Stuxnet, který v minulém roce infikoval desítky tisíc počítačů, se stal celosvětovou senzací. Společnost Symantec odhalila, že byl navržen pro sabotáže techniky využívané pro obohacování uranu v íránských jaderných zařízeních. A pravděpodobně průmyslový sektor není jediným cílem nového malwaru Duqu. Identifikovali několik oblastí mimo tato odvětví, které se rovněž mohou stát budoucím cílem útoků.

Koho varovat? Na základě znalostí historie červa Stuxnet, schopností útočníků a známých cílů by měli zbystřit všichni dodavatelé řešení pro průmyslová zařízení, zejména výrobci průmyslových řídících systémů. Důležitý obranný a preventivní krok, který jako první přichází do úvahy, má podobu auditu sítí na přítomnost Duqu.

Chraňte své privátní klíče

V rámci vyšetřování, které provedla společnost Symantec, vyšlo najevo, že některé soubory spojené s Duqu byly označeny ukradenými privátními klíči. Tvůrci trojanu je zcizili organizaci, jejíž systémy zjevně kompromitovali. Privátní klíč byl spojen s certifikátem, který patřil postiženému zákazníkovi.

I když není známo, jak došlo ke kompromitování tohoto konkrétního klíče, společnost Symantec nabízí několik doporučení pro jejich lepší ochranu:

  • Oddělte testovací podpisy od finálních. Jde o nejlepší postup tvorby paralelní infrastruktury pro podepisování kódů. Jsou při něm využívány interní certifikační autority, které vydávají zkušební značky. Organizace si může být jistá, že její kritické podnikové soukromé certifikáty nefigurují v nezabezpečených systémech určených pro vývoj softwaru. Tím se snižuje pravděpodobnost jejich odcizení a zneužití.

  • Šifrovací hardwarové moduly. Klíče uložené v aplikacích na počítačích, jež jsou určeny k obecnému použití, mají vyšší pravděpodobnost zcizení. Lepší postup spočívá v jejich uchovávání v samostatných hardwarových a zabezpečených zařízeních specializovaných na kryptografii.

  • Fyzická bezpečnost. Neexistuje bezpečí bez přítomnosti fyzického zabezpečení. Pokud může vnější útočník nebo interní škůdce přistoupit k ověřovacím klíčům, potom je veškeré šifrování k ničemu. Kamery, stráže, snímače otisků prstů a další ochranné prvky slouží k zajištění kritického majetku organizace. Měly by být brány velmi vážně.

    Co říci na závěr?

    Stuxnet se stal prvním škodlivým kódem, který má hluboké politické a sociální souvislosti. Z komplexnosti této hrozby se odborníci v oblasti bezpečnosti mohou mnoho naučit. Změnila i pohled na svět škodlivých kódů. Příběh nyní pokračuje s trojanem Duqu, který obstarává informace pro další budoucí podobné útoky.

Jakub Jiříček

Jakub Jiříček

Autor pracuje jako bezpečnostní konzultant společnosti Symantec.


Komentáře

RSS 

Komentujeme

Telefony vodní i podvodní

Pavel Houser , 16. červen 2017 13:00
Pavel Houser

Jako zajímavou technickou kuriozitu lze uvést, že všech 28 států NATO schválilo protokol Janus, kter...

Více






Kalendář

25. 06.

29. 06.
Cisco Live 2017
22. 07.

27. 07.
Black Hat 2017
27. 07.

30. 07.
Defcon 2017
RSS 

Zprávičky

VMware Horizon v cloudu Microsoft Azure

Pavel Houser , 22. červen 2017 11:50

Řešení pro poskytování desktopu jako služby za poslední roky vyzrála....

Více 0 komentářů

Akcelerátor StartupYard získal 26 milionů Kč

Pavel Houser , 22. červen 2017 11:00

Pražský startupový akcelerátor společně s Fundliftem oznámil investici, kterou získal formou neveřej...

Více 0 komentářů

Česká asociace pojišťoven k pojištění kybernetických rizik

Pavel Houser , 22. červen 2017 10:00

Policie ČR v roce 2016 šetřila 5 344 kybernetických zločinů, což je o 321 (resp. 6,4 %) více než v p...

Více 0 komentářů

Starší zprávičky

Soud řešil krádež bitcoinů. Znalec řekl, že obžalovaný je vinen

ČTK , 22. červen 2017 09:00

Tržiště vykradli dva Američané, převedli z něj bitcoiny asi za 100 milionů korun. Jiříkovský následn...

Více 2 komentářů

Národní elektronický nástroj bude povinný od července 2018

ČTK , 22. červen 2017 08:00

Od dubna platí, že všechny organizační složky státu a centrální zadavatelé musí s dodavateli zakázek...

Více 0 komentářů

Zadavatelé reklamy na Google nejvíc zaplatí u půjček a pojištění

ČTK , 21. červen 2017 12:00

Nejnižší platbu za jedno kliknutí uživatelem mají vedle knih lékárny....

Více 3 komentářů

Nejcitlivější údaj? Výše úspor

Pavel Houser , 21. červen 2017 11:00

Jen 13 % klientů bank zmínilo, že možné riziko vidí v rámci využívání internetového bankovnictví ban...

Více 0 komentářů