Det næste Stuxnet-angreb er på vej

Klumme: Truslen Duqu er i familie med Stuxnet og kan være første fase i et nyt angreb, skriver Shehzad Ahmad, chef for DK-Cert, i månedens klumme.

Shehzad Ahmad

Publiceret d. 28. oktober 2011 kl. 15.01

Send

Annonce:

ANNONCE:

Læs også:

"The Mystery of Duqu: Part One" af Alexander Gostev, Kaspersky.

"W32.Duqu: The precursor to the next Stuxnet" fra Symantec.

Duqu FAQ fra Kaspersky.

"Israeli Test on Worm Called Crucial in Iran Nuclear Delay" fra New York Times.

Indholdsfortegnelse:

Det næste Stuxnet-angreb er på vej

Her er den væsentlige forskel på Stuxnet og Duqu

Et stykke skadeligt software, der har inficeret ganske få computere og i øvrigt ikke virker for øjeblikket, blev forsidestof i oktober.

Årsagen er, at Duqu ligner sidste års mest omtalte trussel, ormen Stuxnet.

Stuxnet var en særdeles avanceret orm. Den udnyttede ikke mindre end fire sårbarheder, som der ikke fandtes sikkerhedsrettelser til, da den blev udsendt. Blandt andet spredte den sig via USB-nøgler.

Men interessen for Stuxnet blev især vakt, da det viste sig, at dens formål var at inficere industrikontrolsystemer, som styrer centrifuger til berigelse af uran.

Stuxnet ser ud til at være beregnet til at sabotere det iranske atomprogram, hvilket da også lykkedes. Ifølge avisen New York Times blev Stuxnet udviklet af USA og testet på et forsøgsanlæg i Israel.

Dele af Duqu ser ud til at bygge på kildekoden fra Stuxnet. Det gør naturligvis offentligheden interesseret. Spørgsmålet er, om den nye trussel er udviklet af en nationalstat, eller om den bare er endnu et stykke software fra it-kriminelle.

Duqu har klare ligheder med Stuxnet, men også store forskelle.
Aflytningsprogram
Duqu består af to moduler, der kan fungere uafhængigt af hinanden: Et hovedmodul og et aflytningsprogram.
Hovedmodulet består af tre komponenter: En driver, en DLL-fil og en konfigurationsfil.

Ingen af dem kan få programmet til at sprede sig, så der må findes en fjerde komponent, der endnu ikke er opdaget.

Driveren har til formål at indsætte DLL-modulet i en systemproces, så det kører på pc'en.

Herefter kan hovedmodulet installere andre skadelige programmer. For øjeblikket er der kun set eksempler på, at det installerer et aflytningsprogram.

Aflytningsprogrammet kan opsnappe tastaturtryk og hente diverse data om systemet.

Kombinationen af Duqu og aflytningsprogrammet gør det nærliggende at antage, at infektionen er første fase i et angreb: Først indsamles der information om offeret, herefter sættes næste angrebsbølge ind.

Adgang til kildekoden
Koden i aflytningsprogrammet har intet til fælles med kildekoden til Stuxnet.

Det har koden til Duqus hovedprogram derimod.

Nogle sikkerhedsforskere mener, at Duqu derfor må være udviklet af folk med adgang til kildekoden til Stuxnet.

Her skal man dog være forsigtig: I februar udsendte hackere en dekompileret udgave af Stuxnet, som de havde fået fat i ved at hacke sig ind på sikkerhedsfirmaet HBGary.

Det er ikke egentlig kildekode, men kan muligvis være brugt til at bygge videre på.

Fortsættes ...

« forrige side

1 2

næste side »