автор: raven000 20.06.2018 0 Комментарии

// CyberSecyrity.ru // — По данным венгерских ИТ-специалистов, сетевой червяк Duqu применяет для кражи прикрытых данных до того незнакомую слабость в ядре Microsoft. Слабость «свежего дня» вызывается с помощью специально построенного Word-файла, эталоны которого были найдены и изучены венгерской лабораторией CrySyS (Laboratory of Cryptography and Систем Security).

 Напоминаем, что раньше организация Symantec провела первый обширный тест кода Duqu, увидев, что этот вредный код нужен для атаки индустриальных субъектов, при этом за написанием Duqu и нашумевшего червяка Stuxnet, вероятнее всего, стоят одни люди. В Crysys.hu рассказывают, что выявленные ими эталоны червяка «очевидно нацелены на приобретение индустриальных данных».

В то же самое время, в отряде Dell SecureWorks рассказывают, что также провели тест работы Duqu и считают, что коды Stuxnet и Duqu имеют недостаточно что совместного, и более того, за настоящим написанием заключительного могут находиться абсолютно иные люди, которые, тем не менее, также нацелены на приобретение индустриальных данных. В компании Dell рассказывают, что Duqu представляет из себя вредонос, состоящий из 2-ух элементов, сделанных сообразно с тем, как работают очень многие руткиты. При попадании в технологию он старается подложить комплект закодированных DLL-файлов, работающие как драйвер значения ядра. Для установки в технологию драйверы применяют ворованные сертификаты тайваньской компании JMicron.

Способ работы Duqu (по словам Symantec)

После общего развертывания в системе, Duqu не применяет каких-нибудь уязвимостей и просто действует как системный элемент. Опасность состоит в том, что противовирусные компании пока не в состоянии определить главную цель Duqu и виды атакуемого оснащения. В случае со Stuxnet было ясно, что червяк штурмует оснащение Siemens на ядерных станциях в Иране, США, РФ и Израиле.

Также в компании Dell SecureWork считают, что уязвимости, применяемые Duqu, не будут устранены в следующий четверг компанией Майкрософт, которая рассчитывает выпустить ноябрьский комплект патчей для собственных товаров.

«Безовые задачи Duqu и его возникновение пока остаются загадкой, странно также и то, что он часто применяется в многочисленных рассылках, впрочем нужен для таргетированных атак», — рассказывают в Dell SecureWorks.

Раньше «Корпорация Касперского» обнародовала данные, по которым первые отпечатки Duqu были найдены в Венгрии в октябре. Позднее вышли данные, что Duqu прежде всего начал нападать индустриальные субъекты в Судане и Иране, впрочем противовирусная организация утверждает, что это еще не свидетельствует об ориентированности Duqu как раз на эти страны.

Также в Symantec рассказали, что в случае если первые версии Duqu старались разговаривать с коммуникационными серверами на территории Индии (в настоящее время эти компьютеры отключены милицией), то заключительные версии Duqu, реализованные с помощью документа Ворд, стараются соединяться с выделенными серверами в Бельгии. Позавчера бельгийские компьютеры тоже были отключены.