Niedawne infekcje trojana Duqu, nazwanego bratem Stuxneta – niesławnego szkodliwego programu wykorzystywanego do szantażu przemysłowego, to kolejny przykład wysoce wyrafinowanych ataków cyberprzestępczych.
Analiza przeprowadzona przez ekspertów z Kaspersky Lab wykazała, że Duqu stanowił broń wykorzystywaną w atakach skierowanych na konkretne firmy. Z tego powodu żadna infekcja Duqu nie odbywa się przypadkowo. Aby pomóc w analizie i leczeniu infekcji Duqu, Kaspersky Lab stworzył specjalny adres e-mail, poprzez który firmy i osoby fizyczne mogą skontaktować się z ekspertami i poprosić o pomoc w zbadaniu infekcji Duqu.
Adres stopduqu@kaspersky.com to cyfrowa gorąca linia dla tych, którzy odkryli, że ich komputer został zainfekowany przez Duqu. Warto podkreślić, że podejście „wylecz i zapomnij” nie sprawdza się w przypadku tego trojana. Każda próba infekcji oznacza, że cyberprzestępcy mieli ważny powód, aby przejąć kontrolę nad danym systemem, dlatego istnieje duże prawdopodobieństwo, że ataki zostaną powtórzone z wykorzystaniem innych metod. Kontaktując się z Kaspersky Lab, firmy i osoby fizyczne mogą zapewnić bezpieczeństwo swoich poufnych danych.
Ostatnie odkrycia ekspertów z Kaspersky Lab związane z Duqu pozwoliły ustalić stosowaną przez trojana metodę infekcji, która wcześniej nie była znana. Okazuje się, że w celu przeniknięcia do systemu trojan wykorzystuje oparte na socjotechnice spersonalizowane e-maile. Wiadomości te zawierają plik .doc (działający w programie Microsoft Word), który wykorzystuje błąd w module systemu Windows odpowiedzialnym za obsługę czcionek. Mimo że Microsoft nie opublikował jeszcze ostatecznej łaty na tę lukę, produkty Kaspersky Lab wykrywają i blokują wszelkie wykorzystujące ją szkodliwe programy, łącznie z Duqu.
W najnowszej odsłonie analizy Duqu eksperci z Kaspersky Lab opisali sterownik tego trojana – pierwszy komponent ładowany do systemu. Ujawniono również metodę kontaktowania się szkodnika z obsługiwanym przez cyberprzestępców serwerem kontroli, jak również to, że jeden z komponentów Duqu (biblioteka DLL) potrafi łączyć się z zasobami udostępnionymi w sieci, a nawet stać się serwerem kontroli dla innych zainfekowanych maszyn. Eksperci z Kaspersky Lab będą dalej analizowali złożoną strukturę szkodliwej funkcjonalności Duqu, która między innymi obejmuje kradzież poufnych danych.