Поставщики решений в области безопасности по всему миру, похоже, разделились
во мнении касательно недавно обнаруженной вредоносной угрозы
Duqu. Они спорят не
только о целях атаки, но даже о команде, которая стоит за Duqu.
Symantec и McAfee пришли к разным выводам о Duqu несмотря на то, что якобы
получили образец зловреда из одного и того же источника – от команды независимых
исследователей.
По информации, опубликованной в среду, за Duqu стоит та же команда, которая
создала Stuxnet, и целью Duqu являлись в основном центры сертификации в Европе,
на Среднем Востоке, в Юго-Восточной Азии и Африке.
"На данный момент известно лишь о нескольких сайтах, пораженных кодом, и, в
отличие от Stuxnet, у него нет возможности атаковать Программируемые Логические
Контроллеры (PLC). Вместо этого код, проникающий благодаря эксплуатации
уязвимостей, устанавливает драйверы и зашифрованные DLL, которые функционируют
очень схожим с кодом Stuxnet образом", - написали исследователи McAfee Гиллерме
Венерэ и Питер Зор.
"Фактически, код нового драйвера, используемый для атаки с внедрением, очень
схож со Stuxnet, равно как и несколько ключей шифрования и методов,
использованных прародителем Duqu".
Хотя в Symantec согласны, что код, ключи и методы имеют много общего со
Stuxnet, они настаивают на том, что команда разработчиков создавала Duqu как
"предвестник будущей атаки, схожей с атакой Stuxnet", нежели для атак центров
сертификации.
"Целью Duqu является сбор данных и активов у организаций. Например, у
производителей промышленных систем контроля, для облегчения проведения будущих
атак против третьей стороны", - говорится в сообщении от команды Symantec
Security Response.
"Атакующим нужна информация вроде дизайн-документов, которая помогла бы им в
будущем осуществлять атаки на объекты промышленного контроля".
Специалисты из BitDefender, тем временем, рассказали, что их фильтры
обнаружили зловред, опознанный как Win32.Duqu.A. В отличие от McAfee, Symantec и
большинства других поставщиков, фирма BitDefender выказала сомнение в том, что
за Duqu стоят те же люди, что и за Stuxnet.
"У этой угрозы другая задача. Stuxnet создавался для военного саботажа, а
Duqu просто собирает информацию и его нельзя считать ничем иным, нежели
утонченным и усложненным кейлоггером", - написал исследователь Богдан Ботезату.
"Криминальные банды редко меняют свои привычки, и мы склонны к мнению, что
люди, занимавшиеся до этого военным саботажем, вряд ли переключатся на
гражданские организации".
"Учитывая тот факт, что большинство производителей антивирусов теперь усилят
эвристический анализ и другие способы обнаружения кода Stuxnet, авторы зловреда
вряд ли станут разрабатывать еще одну угрозу с использование кода, схожего с
кодом известного прародителя", - добавил Ботезату.
Руководитель глобальных исследований и анализа в "Лаборатории Касперского",
Александр Гостев, тем временем заявил, что возникло много путаницы относительно
названия угрозы.
"Чтобы получить полное представление о ситуации, нужно понять, что речь здесь
идет о как минимум двух вредоносных программах – главном модуле и кейлоггере", -
написал он.
"Модуль очень схож со Stuxnet по своему строению и поведению. Однако название
Duqu не имеет почти ничего общего с этим модулем. Оно основано на именах файлов,
относящихся к совсем другому вредоносному кейлоггеру".