Odkrywcami nowego szkodnika o nazwie Duqu, (który otrzymał tę nazwę ze względu na tworzenie plików z prefiksem „~DQ”) są ludzie z „laboratorium badawczego o silnych powiązaniach międzynarodowych”, którzy przekazali swoje odkrycie firmie Symantec. Zdaniem ekspertów z Symanteka robak ten jest dziełem programistów mających dostęp do oryginalnego kodu Stuxnetu. Aktywne egzemplarze znaleziono w sieciach niewielkiej liczby firm z Europy, w tym „zajmujących się systemami sterowania przemysłowego”.

Badacze donoszą, że celem Duqu jest wyłącznie zbieranie danych, które w przyszłości mogą pomóc w przeprowadzeniu ataku na instalację przemysłową. Robak nie robi niczego innego, prócz poszukiwania konkretnych dokumentów. W zainfekowanym systemie działa przez 36 dni, po czym sam siebie usuwa.

Podobnie jak w wypadku Stuxnetu, nowy robak uwiarygadnia się w systemie za pomocą skradzionego certyfikatu, który już został przez Symanteka odwołany (Symantec stoi za całym biznesem z certyfikatami firmy VeriSign, kontrolując jej certyfikaty SSL, usługi klucza publicznego, usługi uwierzytelniania i zaufania). Wprowadza do systemu mechanizmy zdalnego dostępu, używa własnego protokołu C&C i zajmuje się wgrywaniem i pobieraniem czegoś, co wygląda na „lewe” pliki JPG, którym towarzyszą dodatkowe zaszyfrowane dane.

Więcej na temat samego odkrycia nie ujawniono – grupa odkrywców chce w ten sposób chronić tożsamość ofiary, u której znaleziono egzemplarz robaka. Vikram Thakur z Symanteka dodał jednak, że w ciągu dwóch dni od odkrycia, jego firma otrzymała inne wersje szkodnika, również wymierzone w twórców systemów kontroli przemysłowej. Zainteresowani mogą jednak zapoznać się z wynikami badań ekspertów firmy – wygląda na to, że mamy do czynienia z naprawdę kunsztownie zaprojektowanym robakiem.

źródło: symantec.com