Artikel top billede

Mystisk: Hackere lukker og slukker for Duqu-botnet

Lukket og slukket. Hackere har renset serverne bag Duqu-botnettet for alle filer.

Computerworld News Service: Hackerne bag botnettet Duqu har lukket ned for spionage-virksomheden, fortæller en sikkerheds-researcher i denne uge.

De 12 kendte command-and-control-servere til Duqu blev renset for alle filer d. 20. oktober 2011, fortæller Kaspersky Lab.

Det skete bare to dage efter antivirus-firmaet Symantec gik til offentligheden med sin analyse af Duqu, som er det trojaner-baserede botnet, som mange sikkerhedseksperter mener deler kode og karakteristik med Stuxnet, som er den super-sofistikerede orm, der sidste år saboterede Irans atomprogram.

Både Symantec og Kaspersky mener, at Duqu er designet af hackere, der sandsynligvis har fået opbakning fra et ukendt lands regering.

Skabt til at spore installationer

I modsætning til Stuxnet er Duqu ikke skabt til at ødelægge centrifuger til uran-berigelse men til at opspore sårbare installationer og computernetværk, der kan bane vej for en anden orm målrettet styresystemerne.

"Jeg tror, at den del af Duqu-operationen er lukket nu," siger Roel Schouwenberg, der er senior researcher hos Kaspersky, i en e-mail.

"[Men] det betyder ikke, at der ikke kan være en ny/modificeret operation på vej."

Tidligere onsdag oprettede en anden Kaspersky-ekspert en opdatering om virksomhedens undersøgelse af Duqu, der også nævner hovedrengøringen 20. oktober.

Ifølge Kaspersky har hver variant af Duqu - og sikkerhedsfirmaet kender til 12 versioner - anvendt andre, kompromitterede servere til at håndtere de inficerede pc'er med den specifikke version af malwaren. Serverne fandtes blandt andet i Belgien, Indien, Holland og Vietnam.

Slettet alle filer

"Angriberne har slettet alle filer på alle de servere, de har brugt siden 2009," siger Kaspersky.

Hackerne har også sørget for at dobbelttjekke bagefter, at alt nu også var væk, bemærker Kaspersky.

"Alle [command-and-control servere] vi har undersøgt, er helt rensede," fortæller Roel Schouwenberg.

Kaspersky har også gjort opdagelser, som stadig mangler en forklaring.

Har måske fundet hul i OpenSSH

Angriberne var hurtige til at opdatere de kompromitterede serveres version af OpenSSH - til Open BSD Secure Shell, som er et open source-baseret toolkit til kryptering af internettrafik - til en nyere udgave, fra 4.3-versionen og til den nyere 5.8.

Der har været forlydender om, at OpenSSH indeholder en ikke-rettet, eller 'zero-day', sårbarhed i den gamle version, der kan være blevet udnyttet af Duqu-hackerne til at overtage kontrollen over legitime servere.

Kaspersky afviser teorien med et argument om, at det er "for uhyggelig" en tanke.

Alligevel er det det en af de to forklaringer, som Roel Schouwenberg tilbyder i forhold til den hurtige opdatering til OpenSSH 5.8.

"Den logiske forklaring må være, at vi enten står over for en sårbarhed i den gamle version, og/eller en ny funktion i den nyere version, der kan være brugbar for angriberne," siger Roel Schouwenberg.

Ved at opdatere OpenSSH fra den muligvis sårbare OpenSSH 4.3 har Duqu-udviklerne måske villet sikre sig, at ingen andre kriminelle kan stjæle deres stjålne server.

Iran, som sidste år anerkendte, at flere systemer, heriblandt fra landets atomprogram, var blevet inficeret med Stuxnet, indrømmede for to uger siden, at Duqu også har sneget sig ind på computere i landet.

Duqu er blevet sporet til angreb i flere lande end Iran, som for eksempel Sudan, og har muligvis været under konstruktion siden august 2007.

Læs også:

Microsoft klar med hotfix til Duqu.

Microsoft: Sådan blokerer du for Duqu.

Professionelle bagmænd skræddersyer Duqu-angreb

Nu kan du få et open source-toolkit til kamp mod Duqu

Sikkerhedseksperter: Her er den nye Stuxnet-trussel

Det næste Stuxnet-angreb er på vej

Derfor retter Microsoft ikke trojaner-fejl

Oversat af Marie Dyekjær Eriksen




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ciklum ApS
Offshore software- og systemudvikling.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere