13 cze 2015

Duqu 2.0 - najbardziej zaawansowane narzędzie do wykradania danych zostało opracowane przez Izrael?

0

W ostatnim tygodniu w branży bezpieczeństwa IT i w kwestii ochrony informacji wiele się działo i to zarówno za granicą jak i w Polsce. Od włamania do jednego z polskich banków, publikacji wrażliwych danych jego klientów (historia szczegółowo opisana tutaj oraz tutaj), następnie wyciek akt w sprawie afery podsłuchowej aż po odkrycie Duqu 2.0 - jak dotąd najbardziej wyrafinowanego i zaawansowanego narzędzia do wykradania danych w rękach hackerów. Z racji opisania dwóch pierwszych przypadków przez inny portal, zostawiając także politykę, skupimy się dzisiaj na ostatnim przypadku. Potężny szczep złośliwego oprogramowania z rodziny Duqu, nazywany Duqu 2.0 zaatakował wiosną tego roku m.in. Kaspersky Lab


Pierwsza wersja tego trojana została odkryta 14 października 2011 roku, a nazwa Duqu pochodzi od tworzonych przez niego plików z prefiksem ~DQ. Eugene Kaspersky opisał Duqu jako "miks Aliena, Terminatora i Predatora, w terminologii filmowej Hollywood". Wycenił koszt takiego oprogramowania i ataku na około 10 milionów dolarów. Z racji wykorzystywania elementów fałszywej flagi przez tego typu narzędzia, autorstwo Duqu ciężko jednoznacznie określić. Eksperci uważają, że za stworzenie Duqu w pierwszej wersji odpowiadała amerykańska NSA przy współdziałaniu z izraelską jednostką wojskową 8200. Mikko Hyppönen, Chief Research Officer z F-Secure twierdzi, że jedną z takich fałszywych flag w Duqu 2.0 jest ciąg znaków znaleziony w jednym ze sterowników, mianowicie: "ugly:gorilla", który wskazuje na Comment Crew - chińską jednostkę wojskową nr 61398 w Szanghaju, o której pisaliśmy tutaj. W opublikowanej analizie, badacze bezpieczeństwa z Kaspersky Lab spekulują, iż Duqu 2.0 wykorzystuje trzy 0day'e, czyli exploity na nieznane jeszcze podatności:
  • CVE-2015-2360;
  • CVE-2014-4148;
  • CVE-2014-6324.
Firma Kaspersky odkryła włamanie do swojej sieci wewnętrznej całkiem przypadkowo, podczas testowania nowej technologii przeznaczonej do wykrywania trwałych, zaawansowanych zagrożeń. Duqu 2.0 w sieci Kaspersky rozpowszechniał się poprzez pliki MSI:
Struktura złośliwego pliku MSI (źródło: Kaspersky Lab)

Podejrzewa się, że ogniwem zapalnym było biuro jednego z pracowników Kaspersky Lab w regionie Azji i Pacyfiku, w którym otworzył zainfekowany załącznik w przesłanej wiadomości e-mail. Ujawniono także, że Duqu 2.0 zostało odnalezione w firmach na Zachodzie, Bliskim Wschodzie i Azji. Platforma złośliwego oprogramowania Duqu w wersji 2.0 rezyduje w pamięci a nie na dysku twardym, nie modyfikuje i nie tworzy żadnych danych, więc jest bardzo trudna do wykrycia. Atakujący mogą wdrożyć swoim ofiarom dwa rodzaje pakietów:
  1.  Podstawowy - zdalny backdoor rezydujący w pamięci, o objętości ~500 KB;
  2.  Pełny - korzystająca z serwerów C&C platforma szpiegowska o objętości ~18 MB.
Opublikowana analiza wykazała, że Duqu w wersji 2.0 nie został zaprojektowany przez Equation Group z NSA, co oznacza że tym razem Izrael jest głównym podejrzanym. Taką samą opinią podzielił się Richard Bejtlich - Chief Security Strategist z FireEye. Kolejną ciekawostką jest to, że ktoś, kto stał za atakiem na sieć Kaspersky Lab atakował ją m.in. w związku z 70. obchodami wyzwolenia obozu Auschwitz-Birkenau.

 Schemat ataku Duqu 2.0 (źródło: Kaspersky Lab)


Szczegółowy raport Kaspersky Lab w języku angielskim dotyczący Duqu 2.0 dostępny jest tutaj w formie PDF:

0 komentarze:

Publikowanie komentarza

 
Do korespondencji zalecamy nasz klucz PGP.
Design by ThemeShift