Autorzy Duqu zatarli ślady

Przestępcy, którzy stworzyli trojana Duqu, zdołali prawie kompletnie zatrzeć ślady swojej działalności - twierdzą specjaliści z firmy Kaspersky Lab. Ich zdaniem krótko przed ogłoszeniem przez koncern Symantec odkrycia Duqu, z Sieci zniknęły praktycznie wszystkie ślady po trojanie.

Z analiz przeprowadzonych przez Kaspersky Lab wynika, że 20 października 2011 ktoś "wyczyścił" dane ze wszystkich (tzn. dwunastu) serwerów kontrolnych wykorzystywanych do zarządzania botnetem Duqu. Nastąpiło to zaledwie dwa dni przed tym, jak Symantec opublikował swój raport, w którym poinformowano o wykryciu nowego, niezwykle skomplikowanego trojana (oraz o jego powiązaniach z osławionym Stuxnetem).

Zdaniem specjalistów, Duqu został stworzony prawdopodobnie na zlecenie jakiegoś rządu - jego zadaniem było przeprowadzenie rekonesansu przed atakiem kolejnego, jeszcze bardziej skomplikowanego "szkodnika". "Wygląda na to, że ta faza operacji jest już zakończona - trojan zrobił swoje i nie jest już potrzebny. Niewykluczone jednak, że trwa już kolejny etap..." - skomentował Roel Schouwenberg, specjalista z Kaspersky Lab.

Zobacz również:

  • Czy możemy ufać rosyjskiej firmie Kaspersky?
  • Ten malware atakuje routery obsługujące środowiska SOHO

Z analiz przeprowadzonych przez firmę wynika, że każdy atak Duqu koordynowany był z innego serwera kontrolnego (C&C) - maszyny te były zlokalizowane m.in. w Belgii, Indiach, Holandii oraz Wietnamie. Po przeprowadzeniu ataków (które trwały od 2009 do 2010 r.) serwery zostały wyczyszczone z wszystkich informacji, które mogły posłużyć do namierzenia twórców Dugu.

Co ciekawe, podczas analiz wykryto również, że w pewnym momencie operatorzy Duqu bardzo szybko przeprowadzili na serwerach kontrolnych aktualizację OpenSSH - z wersji 4.3 do wydania 5.8. Przedstawiciele Kaspersky zauważają, że zbiegło się to w czasie z wykryciem poważnego błędu w OpenSSH (Open BSD Secure Shell) - być może szybkie łatanie przeprowadzono w obawie, by inne grupy przestępcze nie wykorzystały luki do wykradzenia sekretów Duqu.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200