Vše co jste chtěli vědět o hrozbě Duqu, ale báli jste se zeptat

Jakub Jiříček , 19. leden 2012 10:48 0 komentářů
 Vše co jste chtěli vědět o hrozbě Duqu, ale báli jste se zeptat

Devatenáctého října letošního roku zveřejnila společnost Symantec analýzu nové bezpečnostní hrozby zvané Duqu. Zdá se, že jde o prostředníka budoucích útoků typu Stuxnet. Části škodlivého kódu Duqu jsou téměř identické s červem Stuxnet. Jediným účelem nového malwaru je získání informací, jež mohou potenciální útočníci využít ke svým dalším aktivitám. Duqu se nešíří masově, ale je vysoce zacílen na dodavatele průmyslových systémů.

Minimálně v jedné napadené organizaci měl instalační soubor Duqu podobu dokumentu programu Microsoft Word. Ke spuštění škodlivého kódu využil do té doby neznámou bezpečnostní zranitelnost. Ve chvíli, kdy byl dokument otevřen, došlo k instalaci hlavních částí Duqu. Společnost Microsoft o zranitelnosti ví a pracuje na jejím odstranění.

Malware Duqu byl poprvé zaznamenán u malé skupiny evropských organizací. Nejprve jej analyzovalo budapešťské pracoviště Laboratory of Cryptography and System Security.

Jak „virus“ Duqu funguje

Stuxnet byl navržen tak, aby přeprogramoval průmyslové řídící systémy. Zaměřoval se především na hardware využívaný k řízení produkčních prostředí typu elektráren nebo rafinerií. Duqu instaluje program pro snímání úderů kláves a získává tak citlivé informace z nakažených počítačů.

Ačkoli Duqu využívá některé shodné části kódu s červem Stuxnet, jeho poslání není destruktivní. Jde v podstatě o trojského koně, který umožňuje vzdálený přístup. Sám se nereplikuje, ani nešíří. To mimo jiné znamená, že nejde o červa.

Původně byly objeveny dvě varianty malwaru Duqu. Další identifikovala později společnost Symantec.

Trojan Duqu se skládá z instalačního souboru, ovladače, knihovny DLL a konfigurátoru. Podobně jako Stuxnet se maskuje jako legitimní kód, k čemuž využívá ovladač podepsaný platným digitálním certifikátem. Ten původně používala jedna tchajwanská firma, která jej po zjištění zneužití zneplatnila 14. října letošního roku.

Útoky s pomocí Duqu a jeho variant začaly již v prosinci minulého roku. Na základě zjištění kompilačních časů to zjistila společnost Symantec.

Ilustrační foto: mědené kabely ADSL infrastruktury (majitel: Telefónica O2 ČR, foto: Karel Wolf)
Ilustrační foto: mědené kabely ADSL infrastruktury (majitel: Telefónica O2 ČR, foto: Karel Wolf)
Duqu využívá protokoly HTTP a HTTPS ke komunikaci se dvěma známými servery C&C neboli command-and-control, které jsou nyní neaktivní. Útočníci z nich byli schopni stáhnout další spustitelné kódy. Šlo o programy přezdívané infostealer neboli zloději informací. S jejich pomocí mohli například zjistit systémové informace, obstarat si záznamy stisků kláves nebo vygenerovat seznam používaných sítí. Zcizené údaje byly uloženy ve formě zašifrovaných a zkomprimovaných lokálních souborů. Následně došlo k jejich exportu do vnějšího prostředí. Duqu využívá vlastní protokol C&C, s jehož pomocí stahuje nebo naopak odesílá soubory, které mají zdánlivě podobu obrázků formátu JPG. Společně s nimi jsou ovšem zašifrována a přenášena i další data.

Duqu je nakonfigurován pro 30 nebo 36denní provoz. Poté se automaticky odstraní ze systému.

Infekce trojanem Duqu byla potvrzena minimálně v šesti nadnárodních organizacích z osmi zemí – Francie, Nizozemsko, Švýcarsko, Ukrajina, Indie, Írán, Súdán a Vietnam.

Koho Duqu ohrožuje?

Duqu není přímo zaměřen na průmyslové řídící systémy. Současně s jeho identifikací se objevily obavy z následných kybernetických útoků na systémy kritické infrastruktury, mezi něž patří například elektrárenské bloky, zařízení na úpravu vody nebo chemické provozy.

Stuxnet, který v minulém roce infikoval desítky tisíc počítačů, se stal celosvětovou senzací. Společnost Symantec odhalila, že byl navržen pro sabotáže techniky využívané pro obohacování uranu v íránských jaderných zařízeních. A pravděpodobně průmyslový sektor není jediným cílem nového malwaru Duqu. Identifikovali několik oblastí mimo tato odvětví, které se rovněž mohou stát budoucím cílem útoků.

Koho varovat? Na základě znalostí historie červa Stuxnet, schopností útočníků a známých cílů by měli zbystřit všichni dodavatelé řešení pro průmyslová zařízení, zejména výrobci průmyslových řídících systémů. Důležitý obranný a preventivní krok, který jako první přichází do úvahy, má podobu auditu sítí na přítomnost Duqu.

Chraňte své privátní klíče

V rámci vyšetřování, které provedla společnost Symantec, vyšlo najevo, že některé soubory spojené s Duqu byly označeny ukradenými privátními klíči. Tvůrci trojanu je zcizili organizaci, jejíž systémy zjevně kompromitovali. Privátní klíč byl spojen s certifikátem, který patřil postiženému zákazníkovi.

I když není známo, jak došlo ke kompromitování tohoto konkrétního klíče, společnost Symantec nabízí několik doporučení pro jejich lepší ochranu:

  • Oddělte testovací podpisy od finálních. Jde o nejlepší postup tvorby paralelní infrastruktury pro podepisování kódů. Jsou při něm využívány interní certifikační autority, které vydávají zkušební značky. Organizace si může být jistá, že její kritické podnikové soukromé certifikáty nefigurují v nezabezpečených systémech určených pro vývoj softwaru. Tím se snižuje pravděpodobnost jejich odcizení a zneužití.

  • Šifrovací hardwarové moduly. Klíče uložené v aplikacích na počítačích, jež jsou určeny k obecnému použití, mají vyšší pravděpodobnost zcizení. Lepší postup spočívá v jejich uchovávání v samostatných hardwarových a zabezpečených zařízeních specializovaných na kryptografii.

  • Fyzická bezpečnost. Neexistuje bezpečí bez přítomnosti fyzického zabezpečení. Pokud může vnější útočník nebo interní škůdce přistoupit k ověřovacím klíčům, potom je veškeré šifrování k ničemu. Kamery, stráže, snímače otisků prstů a další ochranné prvky slouží k zajištění kritického majetku organizace. Měly by být brány velmi vážně.

    Co říci na závěr?

    Stuxnet se stal prvním škodlivým kódem, který má hluboké politické a sociální souvislosti. Z komplexnosti této hrozby se odborníci v oblasti bezpečnosti mohou mnoho naučit. Změnila i pohled na svět škodlivých kódů. Příběh nyní pokračuje s trojanem Duqu, který obstarává informace pro další budoucí podobné útoky.

Jakub Jiříček

Jakub Jiříček

Autor pracuje jako bezpečnostní konzultant společnosti Symantec.


Komentáře

RSS 

Komentujeme

Bezpečnost IT a tygří logika

Pavel Houser , 14. únor 2017 11:00
Pavel Houser

Jak praví známý vtip, běží-li za vámi tygr, netřeba se pohybovat rychleji než šelma – stačí předběhn...

Více






Kalendář

20. 03.

24. 03.
CeBIT 2017
25. 03. INSPO 2017
28. 04. Oracle Code 2017
RSS 

Zprávičky

110 grafických karet vytvořilo kolizi pro SHA-1 - za rok

ITBiz.cz , 25. únor 2017 19:50

Za projektem stojí Google a získal už velký mediální ohlas, i když technické podrobnosti zatím zveře...

Více 0 komentářů

Prodej chytrých telefonů v Německu loni poprvé klesl

ČTK , 25. únor 2017 14:35

Tržby poklesly i přes rostoucí průměrnou cenu smartphonu....

Více 0 komentářů

Japonská Softbank zakládá s Foxconnem společný investiční podnik

ČTK , 24. únor 2017 18:03

Japonská skupina Softbank, která investuje převážně v sektoru vyspělých technologií, a tchajwanský s...

Více 0 komentářů

Starší zprávičky

3D tisk ocelových konstrukcí

Pavel Houser , 24. únor 2017 17:37

Podařilo se "vytisknout" jeřábový hák....

Více 1 komentářů

Třetina operátora mobilní sítě Sigfox je na prodej

Pavel Houser , 24. únor 2017 17:17

Zájemci o investici v oblasti internetu věcí mohou získat až 34% podíl společnosti SimpleCell Networ...

Více 1 komentářů

Hodnota kybernetické měny bitcoin vystoupila na nový rekord

ČTK , 24. únor 2017 15:30

Hodnota kybernetické měny bitcoin se dnes zvýšila o 4,7 procenta a vystoupila na nový rekord 1218,85...

Více 0 komentářů

Apple v dubnu otevře v Kalifornii novou centrálu

ČTK , 24. únor 2017 11:30

Americká společnost Apple v dubnu otevře v kalifornském Cupertinu svou novou centrálu. Stěhování 12....

Více 0 komentářů