Mystisk: Hackere lukker og slukker for Duqu-botnet

Computerworld News Service: Hackerne bag botnettet Duqu har lukket ned for spionage-virksomheden, fortæller en sikkerheds-researcher i denne uge.

De 12 kendte command-and-control-servere til Duqu blev renset for alle filer d. 20. oktober 2011, fortæller Kaspersky Lab.

Det skete bare to dage efter antivirus-firmaet Symantec gik til offentligheden med sin analyse af Duqu, som er det trojaner-baserede botnet, som mange sikkerhedseksperter mener deler kode og karakteristik med Stuxnet, som er den super-sofistikerede orm, der sidste år saboterede Irans atomprogram.

Både Symantec og Kaspersky mener, at Duqu er designet af hackere, der sandsynligvis har fået opbakning fra et ukendt lands regering.

Skabt til at spore installationer

I modsætning til Stuxnet er Duqu ikke skabt til at ødelægge centrifuger til uran-berigelse men til at opspore sårbare installationer og computernetværk, der kan bane vej for en anden orm målrettet styresystemerne.

"Jeg tror, at den del af Duqu-operationen er lukket nu," siger Roel Schouwenberg, der er senior researcher hos Kaspersky, i en e-mail.

"[Men] det betyder ikke, at der ikke kan være en ny/modificeret operation på vej."

Tidligere onsdag oprettede en anden Kaspersky-ekspert en opdatering om virksomhedens undersøgelse af Duqu, der også nævner hovedrengøringen 20. oktober.

Ifølge Kaspersky har hver variant af Duqu - og sikkerhedsfirmaet kender til 12 versioner - anvendt andre, kompromitterede servere til at håndtere de inficerede pc'er med den specifikke version af malwaren. Serverne fandtes blandt andet i Belgien, Indien, Holland og Vietnam.

Slettet alle filer

"Angriberne har slettet alle filer på alle de servere, de har brugt siden 2009," siger Kaspersky.

Hackerne har også sørget for at dobbelttjekke bagefter, at alt nu også var væk, bemærker Kaspersky.

"Alle [command-and-control servere] vi har undersøgt, er helt rensede," fortæller Roel Schouwenberg.

Kaspersky har også gjort opdagelser, som stadig mangler en forklaring.

Har måske fundet hul i OpenSSH

Angriberne var hurtige til at opdatere de kompromitterede serveres version af OpenSSH - til Open BSD Secure Shell, som er et open source-baseret toolkit til kryptering af internettrafik - til en nyere udgave, fra 4.3-versionen og til den nyere 5.8.

Der har været forlydender om, at OpenSSH indeholder en ikke-rettet, eller 'zero-day', sårbarhed i den gamle version, der kan være blevet udnyttet af Duqu-hackerne til at overtage kontrollen over legitime servere.

Kaspersky afviser teorien med et argument om, at det er "for uhyggelig" en tanke.

Alligevel er det det en af de to forklaringer, som Roel Schouwenberg tilbyder i forhold til den hurtige opdatering til OpenSSH 5.8.

"Den logiske forklaring må være, at vi enten står over for en sårbarhed i den gamle version, og/eller en ny funktion i den nyere version, der kan være brugbar for angriberne," siger Roel Schouwenberg.

Ved at opdatere OpenSSH fra den muligvis sårbare OpenSSH 4.3 har Duqu-udviklerne måske villet sikre sig, at ingen andre kriminelle kan stjæle deres stjålne server.

Iran, som sidste år anerkendte, at flere systemer, heriblandt fra landets atomprogram, var blevet inficeret med Stuxnet, indrømmede for to uger siden, at Duqu også har sneget sig ind på computere i landet.

Duqu er blevet sporet til angreb i flere lande end Iran, som for eksempel Sudan, og har muligvis været under konstruktion siden august 2007.

Læs også:

Derfor retter Microsoft ikke trojaner-fejl

Oversat af Marie Dyekjær Eriksen