Szilárda
-2 °C
7 °C

Támad a Stuxnet vírus utódja

2011.10.19. 11:07
A Symantec biztonságtechnikai cég antivírus-specialistái egy évvel a hírhedt Stuxnet pusztítása után egy olyan kártevőt fedeztek fel, ami gyanúsan hasonlít az iráni atomlétesítmények ellen írt katonai vírusra. Valószínűleg annak egy új verziója, illetve annak egyik komponense.

Az új vírus a Duqu nevet kapta, az alkalmazott trükkjei helyenként annyira hasonlítanak a Stuxnetére, hogy arra lehet következtetni, vagy a Stuxnet írói készítették, vagy olyasvalaki, akinek hozzáférése volt a Stuxnet forráskódjához, és képes volt idomulni annak programozási stílusához. A Duqut európai rendszerekben fedezték fel, és egy tajvani cég digitális hitelesítésével álcázza magát (az ilyen digitális aláírások lopása néhány hónapja vált a hekkerkedés egyik különösen forró területévé).

A Duqu nem terjed a vírusoknál megszokott értelemben, vagyis nem másolja le saját magát sok példányban, és hiányzik belőle az a rész is, ami a Stuxnetet igazán veszélyessé tette: a nukleáris létesítmények ipari számítógépeit szabotáló kód. Sokkal inkább egy Stuxnet-szerű támadást előkészítő, felderítő programnak tűnik, ami felméri a terepet és adatokat gyűjt a rombolást végrehajtó vírusnak. A Stuxnet elemzésekor felmerült a szakértőkben, hogy kellett lennie egy hasonló előzetes kémprogramnak, ami előkészítette a terepet annak idején a Stuxnet számára, és információkat gyűjtött a célpont rendszerről – ezt a vírust azonban sohasem találták meg. A Duqu sem könnyen elkapható, a telepítése után 36 nappal automatikusan törli magát a megtámadott rendszerből.

A vírus kódja alapján úgy tűnik, a Duqu nagyjából egy éve működőképes, és nagyjából másfél évvel a Stuxnet elkészülése (és öt hónappal a felfedezése) után írták. A vírusirtók előli elrejtőzésre ugyanazt a technikát használja, mint a Stuxnet; ezt semmilyen más vírus nem alkalmazta eddig. A 300 kilobájt méretű kártevő tartalmaz egy billentyűzetfigyelő modult is, a megtámadott gépról gyűjtött információkat pedig egy jpg formátumú képbe kódolja bele, ami átcsúszik minden ellenőrzésen. Hogy hogyan jut be a célpont gépre, azt egyelőre nem fejtették meg az antivírus-szakértők, valószínűleg a Stuxnethez hasonlóan fertőzött pendrive-okat használva kerüli ki a tűzfalakat és a szigorú hálózati védelmeket.

A Stuxnetet a szakértők amerikai-izraeli eredetű katonai vírusnak tartják, amit az Irán elleni titkos digitális háborúhoz fejlesztettek ki. A Duqu jó eséllyel ugyanebből a forrásból származik, bár egyértelmű bizonyíték erre sincs. A Symantec nem hozta nyilvánosságra, hogy pontosan milyen rendszerekben fogták meg a vírust, csak annyit közöltek, hogy európai hálózatokban, amelyek kritikus infrastruktúrákhoz kapcsolódnak (ezalatt az energia- és vízszolgáltatást, távközlési és közlekedésirányító rendszereket szoktak érteni).