2. Hírek
  3. Biztonság

A Kaspersky rendszerét is megfertőzte a profi kémprogram

A Kaspersky ma jelentette be, hogy saját rendszerük vizsgálata során fedezték fel, hogy kémszoftverrel támadták őket, méghozzá egy hírhedtté vált féreggel, a Duqu új változatával.

Mivel néhány éve magyar biztonsági szakemberek is kiemelkedő szerepet játszottak a történetben, több cikkben is beszámoltunk erről az igen komoly kiberkémkedési eszközről. A Duqu a speciálisan ipari rendszerek elleni támadásra tervezett Stuxnet vírus közeli rokona, melyet a magyar CrySyS Lab a Symantec-kel együttműködve fedezett fel. A szoftvert arra tervezték, hogy nagyvállalatok, intézmények rendszereiből a lehető legtöbb információt szerezze meg: ipari és politikai célú kémkedésre egyaránt használható.

Pofátlanul

A Kaspersky közli, hogy 2012-ben úgy vélték, sikerült végleg megszabadulni a Duqu fenyegetésétől, ám az alapos vizsgálat során kiderült, hogy ennek egy változata támadta néhány rendszerüket, ezért is nevezték el Duqu 2.0-nak. Elemzésük a politikai célt látja valószínűnek, mivel fontos eseményekhez köthetőek a fertőzések és a kód aktivitása.

Duqu 2.0

A belső elemzés szerint a támadók egy nulladik napi, a Windows kernelben található hibát, illetve nagy valószínűséggel még két másik, már javított, de 2014-15-ben még nulladik napinak számító rést használtak ki, céljuk pedig az volt, hogy minél több bizalmas technológiai információt szerezzenek meg a Kaspersky gépeiről.

A Symantec szerint is

A Symantec is kiadott ma egy közleményt az általuk W32.Duqu.B-nek elnevezett malware-ről, és megerősítik a Kaspersky elemzését. Vizsgálataik szerint a 2.0 másképp működik, mint az első verzió: nem ír fájlokat a lemezekre, a memóriában székel, és két variánsa van. Az egyik a hátsó kapu fenntartásáért felelős, melyen át további fertőzéseket is indítanak. A másik változat sokkal komplexebb, számtalan feladat ellátására alkalmas: pl. ez gyűjti az információkat, térképezi fel a belső hálózatot, ez tartja a kapcsolatot az irányító szerverrel stb.

Mivel számtalan elemében hasonló vagy azonos részeket tartalmaz, mint a Duqu, bizonyosnak tartják, hogy ez egy 2.0-s változat.

Majd kissé keserűen hozzáteszik a végén: most, a nyilvánosságra kerülés után valószínű, hogy a készítői egy időre visszavonulnak, míg elkészül egy új változat.

Duqu 2.0
[+]

Azóta történt

Előzmények