Vše co jste chtěli vědět o hrozbě Duqu, ale báli jste se zeptat

Jakub Jiříček , 19. leden 2012 10:48 0 komentářů
 Vše co jste chtěli vědět o hrozbě Duqu, ale báli jste se zeptat

Devatenáctého října letošního roku zveřejnila společnost Symantec analýzu nové bezpečnostní hrozby zvané Duqu. Zdá se, že jde o prostředníka budoucích útoků typu Stuxnet. Části škodlivého kódu Duqu jsou téměř identické s červem Stuxnet. Jediným účelem nového malwaru je získání informací, jež mohou potenciální útočníci využít ke svým dalším aktivitám. Duqu se nešíří masově, ale je vysoce zacílen na dodavatele průmyslových systémů.

Minimálně v jedné napadené organizaci měl instalační soubor Duqu podobu dokumentu programu Microsoft Word. Ke spuštění škodlivého kódu využil do té doby neznámou bezpečnostní zranitelnost. Ve chvíli, kdy byl dokument otevřen, došlo k instalaci hlavních částí Duqu. Společnost Microsoft o zranitelnosti ví a pracuje na jejím odstranění.

Malware Duqu byl poprvé zaznamenán u malé skupiny evropských organizací. Nejprve jej analyzovalo budapešťské pracoviště Laboratory of Cryptography and System Security.

Jak „virus“ Duqu funguje

Stuxnet byl navržen tak, aby přeprogramoval průmyslové řídící systémy. Zaměřoval se především na hardware využívaný k řízení produkčních prostředí typu elektráren nebo rafinerií. Duqu instaluje program pro snímání úderů kláves a získává tak citlivé informace z nakažených počítačů.

Ačkoli Duqu využívá některé shodné části kódu s červem Stuxnet, jeho poslání není destruktivní. Jde v podstatě o trojského koně, který umožňuje vzdálený přístup. Sám se nereplikuje, ani nešíří. To mimo jiné znamená, že nejde o červa.

Původně byly objeveny dvě varianty malwaru Duqu. Další identifikovala později společnost Symantec.

Trojan Duqu se skládá z instalačního souboru, ovladače, knihovny DLL a konfigurátoru. Podobně jako Stuxnet se maskuje jako legitimní kód, k čemuž využívá ovladač podepsaný platným digitálním certifikátem. Ten původně používala jedna tchajwanská firma, která jej po zjištění zneužití zneplatnila 14. října letošního roku.

Útoky s pomocí Duqu a jeho variant začaly již v prosinci minulého roku. Na základě zjištění kompilačních časů to zjistila společnost Symantec.

Ilustrační foto: mědené kabely ADSL infrastruktury (majitel: Telefónica O2 ČR, foto: Karel Wolf)
Ilustrační foto: mědené kabely ADSL infrastruktury (majitel: Telefónica O2 ČR, foto: Karel Wolf)
Duqu využívá protokoly HTTP a HTTPS ke komunikaci se dvěma známými servery C&C neboli command-and-control, které jsou nyní neaktivní. Útočníci z nich byli schopni stáhnout další spustitelné kódy. Šlo o programy přezdívané infostealer neboli zloději informací. S jejich pomocí mohli například zjistit systémové informace, obstarat si záznamy stisků kláves nebo vygenerovat seznam používaných sítí. Zcizené údaje byly uloženy ve formě zašifrovaných a zkomprimovaných lokálních souborů. Následně došlo k jejich exportu do vnějšího prostředí. Duqu využívá vlastní protokol C&C, s jehož pomocí stahuje nebo naopak odesílá soubory, které mají zdánlivě podobu obrázků formátu JPG. Společně s nimi jsou ovšem zašifrována a přenášena i další data.

Duqu je nakonfigurován pro 30 nebo 36denní provoz. Poté se automaticky odstraní ze systému.

Infekce trojanem Duqu byla potvrzena minimálně v šesti nadnárodních organizacích z osmi zemí – Francie, Nizozemsko, Švýcarsko, Ukrajina, Indie, Írán, Súdán a Vietnam.

Koho Duqu ohrožuje?

Duqu není přímo zaměřen na průmyslové řídící systémy. Současně s jeho identifikací se objevily obavy z následných kybernetických útoků na systémy kritické infrastruktury, mezi něž patří například elektrárenské bloky, zařízení na úpravu vody nebo chemické provozy.

Stuxnet, který v minulém roce infikoval desítky tisíc počítačů, se stal celosvětovou senzací. Společnost Symantec odhalila, že byl navržen pro sabotáže techniky využívané pro obohacování uranu v íránských jaderných zařízeních. A pravděpodobně průmyslový sektor není jediným cílem nového malwaru Duqu. Identifikovali několik oblastí mimo tato odvětví, které se rovněž mohou stát budoucím cílem útoků.

Koho varovat? Na základě znalostí historie červa Stuxnet, schopností útočníků a známých cílů by měli zbystřit všichni dodavatelé řešení pro průmyslová zařízení, zejména výrobci průmyslových řídících systémů. Důležitý obranný a preventivní krok, který jako první přichází do úvahy, má podobu auditu sítí na přítomnost Duqu.

Chraňte své privátní klíče

V rámci vyšetřování, které provedla společnost Symantec, vyšlo najevo, že některé soubory spojené s Duqu byly označeny ukradenými privátními klíči. Tvůrci trojanu je zcizili organizaci, jejíž systémy zjevně kompromitovali. Privátní klíč byl spojen s certifikátem, který patřil postiženému zákazníkovi.

I když není známo, jak došlo ke kompromitování tohoto konkrétního klíče, společnost Symantec nabízí několik doporučení pro jejich lepší ochranu:

  • Oddělte testovací podpisy od finálních. Jde o nejlepší postup tvorby paralelní infrastruktury pro podepisování kódů. Jsou při něm využívány interní certifikační autority, které vydávají zkušební značky. Organizace si může být jistá, že její kritické podnikové soukromé certifikáty nefigurují v nezabezpečených systémech určených pro vývoj softwaru. Tím se snižuje pravděpodobnost jejich odcizení a zneužití.

  • Šifrovací hardwarové moduly. Klíče uložené v aplikacích na počítačích, jež jsou určeny k obecnému použití, mají vyšší pravděpodobnost zcizení. Lepší postup spočívá v jejich uchovávání v samostatných hardwarových a zabezpečených zařízeních specializovaných na kryptografii.

  • Fyzická bezpečnost. Neexistuje bezpečí bez přítomnosti fyzického zabezpečení. Pokud může vnější útočník nebo interní škůdce přistoupit k ověřovacím klíčům, potom je veškeré šifrování k ničemu. Kamery, stráže, snímače otisků prstů a další ochranné prvky slouží k zajištění kritického majetku organizace. Měly by být brány velmi vážně.

    Co říci na závěr?

    Stuxnet se stal prvním škodlivým kódem, který má hluboké politické a sociální souvislosti. Z komplexnosti této hrozby se odborníci v oblasti bezpečnosti mohou mnoho naučit. Změnila i pohled na svět škodlivých kódů. Příběh nyní pokračuje s trojanem Duqu, který obstarává informace pro další budoucí podobné útoky.

Jakub Jiříček

Jakub Jiříček

Autor pracuje jako bezpečnostní konzultant společnosti Symantec.


Komentáře

RSS 

Komentujeme

Microsoft a GitHub

Pavel Houser , 13. červen 2018 13:30
Pavel Houser

Transakce v hodnotě 7,5 miliardy dolarů je dost velká i na poměry Microsoftu, takže se prodejem GitH...

Více







RSS 

Zprávičky

Musk: Favoritem pro evropskou továrnu na baterie Tesly je Německo

ČTK , 21. červen 2018 10:00

Revoluce elektrických aut zvýší do roku 2025 hodnotu evropského trhu s bateriemi na zhruba 250 milia...

Více 0 komentářů

Česko testuje komunikaci mezi auty, vlaky a MHD

ČTK , 21. červen 2018 09:00

Vozidla si budou vyměňovat informace například o tom, jak je vlak daleko od závor, nebo že tramvaj v...

Více 0 komentářů

Xiaomi chce při vstupu na burzu získat až 6,1 miliardy dolarů

ČTK , 21. červen 2018 08:00

Půjde o jednu z největších primárních nabídek akcií v technologickém sektoru za posledních několik l...

Více 0 komentářů

Kalendář

17. 06.

21. 06.
Cyber Week 2018
19. 06.

22. 06.
Automatica 2018
23. 06.

24. 06.
Maker Faire Prague 2018

Starší zprávičky

Kryptoměnovou burzu Bithumb napadli hackeři

ČTK , 20. červen 2018 10:16

Za poslední týden jde již o druhý útok na kryptoměnové burzy v Jižní Koreji. Bitcoin opět klesl....

Více 0 komentářů

Největší australská telekomunikační firma masivně propouští

ČTK , 20. červen 2018 09:52

Telstra dominuje australskému trhu mobilních telefonů a širokopásmových sítí, zisky z pevných sítí a...

Více 0 komentářů

Dotace EU na bezplatné wifi se kvůli chybě systému odkládají

ČTK , 20. červen 2018 08:00

Obce mohly získat poukázku v hodnotě 15 000 eur. Nová výzva bude zveřejněna na podzim....

Více 0 komentářů

E-shopy českých řetězců: Lidl, Globus, DM drogerie

ČTK , 19. červen 2018 16:32

Loni stouply tržby českých e-shopů o 18 % na 115 miliard Kč. On-line nakupuje potraviny již 26 % Čec...

Více 0 komentářů