Создатели интернет-червя Stuxnet вновь активизировались

Антивирусная компания Symantec сегодня сообщила об обнаружении нового опасного Stuxnet-подобного сетевого червя Duqu, которые может представлять серьезную опасность. Согласно данным анализа файла, находящегося в руках Symantec, Duqu имеет признаки модульности и имеет драйвер ядра, базирующийся на рутките. В Symantec говорят, что хотя Duqu и очень похож на Stuxnet, а некоторые части их кодов и вовсе идентичны, реализован Duqu был явно профессионалами.

В отличие от Stuxnet, предназначенного для саботажа промышленных и ядерных объектов, цель Duqu в другом - он создан для получения контроля над промышленными системами и кражи информации из них.

Червь Stuxnet, разгар которого пришелся на январь этого года, представлял собой киберугрозу, с особенностями которой компании прежде никогда не сталкивались. В Symantec говорят, что Duqu повторяет суть своего предка, но имеет несколько специфических особенностей, а также технологии самозащиты, которые позволяют предположить, что Duqu станет следующей "большой" угрозой для промышленных пользователей.

Согласно данным Symantec, авторы Stuxnet и Duqu - это одни и те же люди, так как авторы второго имели полный доступ к исходникам первого и имели четкое представление об алгоритме работы Stuxnet. Создан был Duqu на базе исходников последней модификации Stuxnet, обнаруженной в Сети. Название Duqu червь получил по названию файлов с расширением .dq, оставляемых им.

Основной целью Duqu является сбор данных, в частности внутренних документов, из промышленных контрольных систем (ICS), работающих на заводах, атомных станциях и других объектах критической инфраструктуры. Данные сведения помогут злоумышленникам атаковать промышленные объекты. Внутри Duqu не содержит кода, связанного c ICS-системами. Технически он является некопирующимся троянцем для удаленного доступа. При помощи протоколов HTTP и HTTPS вредоносный код взаимодействует с командными серверами, откуда скачивает инструкции для кражи информации с целевых систем. Полученные данные локально сохраняются и шифруются. Для дополнительной защиты, контрольно-командные серверы передают команды в формате JPG.