Søg

Professionelle bagmænd skræddersyer Duqu-angreb

Folkene bag Duqu "har tjek på det hele" og har specialtilpasset angrebsfilerne til hvert enkelt angreb, siger eksperter.

15. november 2011 kl. 15.25
Artikel top billede
Gregg Keizer Gregg Keizer

Computerworld News Service: Hackergruppen bag Duqu kan have udviklet på angrebskoden i over fire år, afslører ny analyse.

Den russiske leverandør af sikkerhedssoftware Kaspersky Lab offentliggør resultaterne af en ny analyse af nogle Duqu-prøver leveret af it-sikkerhedseksperter i Sudan. En af de drivere, som er blevet installeret som en del af et af de analyserede angreb, blev kompileret helt tilbage i august 2007.

"Vi kan ikke være 100 procent på den dato, men alle datoerne for andre filer ser ud til at passe med angrebene," siger analytiker Roel Schouwenberg fra Kaspersky under et interview. "Så vi hælder til, at denne dato er korrekt."

Schouwenberg tilføjer, at driveren fra august 2007 højst sandsynlig er skabt specielt til Duqu af den gruppe, der står bag angrebene, og således ikke blot er en hyldevare bygget af andre, fordi driveren ikke er blevet set i andre sammenhænge.

Blandt de filer, der bruges af Duqu, har andre analytikere fundet nogle med oprettelsesdatoer tilbage fra februar 2008, mens de første registrerede angreb ikke fandt sted før april 2011.

Prøverne fra Sudan indikerer også, at det var i april i år, at angrebene skete mod et unavngivent mål i landet, fortæller Kaspersky, som angiver to separate forsøg - et 17. april og et andet 21. april - på at plante malware på Windows-pc'er.

Det første angreb mislykkedes, fordi den e-mail, som leverede det skadelige Word-dokument, blev blokeret af et spamfilter, mens det andet angreb lykkedes.

Skræddersyede angreb

Microsoft har bekræftet, at Duqu-kampagnen udnytter en sårbarhed i Windows-driveren W32k.sys og i TrueType font parsing enginen til at opnå adgang til at installere malware på kompromitterede pc'er.

Selvom Microsoft endnu ikke har lukket sikkerhedshullet, så opfordrer selskabet sine kunder til at beskytte sig selv ved at udføre en såkaldt Microsoft Fix it-løsning.

En anden bemærkelsesværdig opdagelse, som Kaspersky har gjort, er at hvert af de 12 Duqu-angreb, som virksomheden kender til, brugte et specialtilpasset sæt filer, der hver gang er blevet kompileret, umiddelbart før malwaren er blevet sendt mod målet.

"Forskellene er ikke ret store, men de bruger altså unikke filer, der er skræddersyet til hver aktion," fremhæver Schouwenberg.

"Hvert eneste angreb har haft sin egen command-and-control-server, hvis placering er indlejret i filerne," forklarer han.

"Det peger på, at de i høj grad ved, hvad de har med at gøre," siger Schouwenberg. "De er meget professionelle og har tjek på det hele."

Oversat af Thomas Bøndergaard

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Computerworld Cloud & AI Festival

    Event: Computerworld Cloud & AI Festival

    Digital transformation | Ballerup

    Eksplosiv udvikling i cloud og AI kræver overblik og viden. Computerworld samler 3.000 it-professionelle, 60+ leverandører og 100+ talere om AI, infrastruktur, compliance og sikkerhed. To dage med viden og netværk. Tilmeld dig nu.

    16. & 17. september 2026 | Gratis deltagelse

    KMD A/S

    Technical Solutions Architect

    Københavnsområdet

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Er du vores nye IT-supporter til Cyberdivisionens supportteam i Hvidovre?

    Københavnsområdet

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Forretningskonsulent med fokus på Forsvarets ERP-løsning, DeMars

    Københavnsområdet

    KMD A/S

    Senior Product Manager

    Fyn

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Netip A/S har pr. 15. september 2025 ansat Jimmi Overgaard som Key Account Manager ved netIP's kontor i Viborg. Han kommer fra en stilling som Sales Executive hos Globalconnect A/S. Nyt job

    Jimmi Overgaard

    Netip A/S

    Netip A/S har pr. 1. november 2025 ansat Laura Bøjer som Consultant, GRC & Cybersecurity på afd. Thisted. Hun kommer fra en stilling som Assistant Consultant hos PwC i Hellerup. Hun er uddannet med en kandidat i Business Administration & Information System på Copenhagen Business School. Nyt job

    Laura Bøjer

    Netip A/S

    netIP har pr. 1. december 2025 ansat Jonas Hyldgaard Nielsen som Consultant, GRC&Cybersecurity i IT-Advisory teamet. Han kommer fra en stilling som Konsulent hos GapSolutions. Han har tidligere beskæftiget sig med Rådgivning og udarbejdelse af beredskabsplaner, risikovurderinger mv. Nyt job

    Jonas Hyldgaard Nielsen

    netIP

    Connexa A/S har pr. 1. januar 2026 ansat Ivan Nielsen som IT Konsulent. Han skal især beskæftige sig med IT Infrastruktur og services. Han kommer fra en stilling som IT Konsulent hos IT Forum Gruppen A/S. Han har tidligere beskæftiget sig med IT Infrastruktur og konsulentopgaver. Nyt job

    Ivan Nielsen

    Connexa A/S

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Pludselig bombarderede Rusland Ukraine ved hjælp af amerikansk teknologi: Nu griber Elon Musk ind
    2 Når ingen vil have de +50-årige: Jeg går ikke ud fra, at topledelsen sidder der på en særordning?
    3 Nørgaard: Derfor nærmer enden sig for Trump
    4 Endelig afgørelse i Chromebook-sagen: 51 kommuner får alvorlig kritik
    5 Efter klagestorm fra Windows 11-brugere: Microsoft vil rulle disse AI-funktioner tilbage
    6 Morgen-briefing: 10 millioner kroner til dansk AI-firma / GlobalConnect henter profil fra Tata / 23 danske cybersikkerhedsfirmaer går sammen
    7 Disse 10 it-selskaber betaler mest i selskabsskat i Danmark: Se om din arbejdsgiver er med på listen
    8 Region Midtjylland nødt til at købe massevis af Microsoft-licenser: Står klar med 325 millioner kroner

    Se seneste uge