Egy rettegett vírus ütős visszatérése

Az elmúlt évek egyik legalattomosabb kártékony programja ismét lecsapott. A Duqu 2.0 egyes biztonsági cégek hálózataiban is tiszteletét tette.
 

2011-ben hamar a nemzetközi sajtó címlapjaira került az a Duqu nevű féreg, amelynek felfedezésében és elemzésében nagyon komoly szerepe volt a magyar CrySyS csapatának. A Symantec pedig arra a megállapításra jutott, hogy a hírhedt Stuxnet és a Duqu között szoros kapcsolat mutatható ki, még akkor is, ha a két károkozó némileg eltérő célokat szolgál. A Duqu alapvetően kémkedésre, információszerzésre termett, de mivel moduláris felépítéssel rendelkezett, ezért számtalan egyéb nemkívánatos tevékenységre is rávehető volt. Már-már úgy tűnhetett, hogy a károkozó mögött álló csoport felhagyott a szerzeményük fejlesztésével, hiszen 2012 óta nem sokat lehetett hallani a kártevőről. Azonban mostanra bebizonyosodott, hogy a háttérben igen komoly fejlesztőmunka folyt, aminek eredménye a Duqu 2.0 lett.
 
Megerősödve tért vissza a kártevő

A továbbra is kémkedési célokat szolgáló kártékony program második főverziójának működése is igen kifinomult és komplex. Oly annyira, hogy az eddig napvilágra került hírek szerint biztonsági cégek, ipari és telekommunikációs vállalatok hálózataiba is bejutott. Ugyanakkor jelenleg egy cégről tudjuk konkrétan, hogy meggyűlt a baja a Duqu 2.0-val. Ez pedig nem más, mint a Kaspersky Lab. A biztonsági cég elismerte, hogy kora tavasszal a hálózatában - egy akkor még ismeretlen - kártevőre derített fényt az egyik új, fejlett fenyegetettségek ellen kidolgozott technológiájának tesztelése során. Természetesen rögtön megkezdődtek a vizsgálatok és az elemzések, amelyek egy része még jelenleg is folyamatban van. Ennek ellenére a vállalat azért sok érdekes részletet nyilvánosságra hozott a kémprogramról.
 
Az első kézenfekvő kérdés, hogy egy ekkora biztonsági vállalat hálózatába miként tudott bekerülni, majd ott észrevétlenül ténykedni egy igencsak veszélyes kártékony program. Mint kiderült a károkozó először a Kaspersky Lab egyik kisebb, Ázsiában lévő irodáját szemelte ki, ahol az egyik alkalmazott megtévesztésével, célzott adathalász eszközökkel hatolt be a hálózatba. Ezt követően aztán több más országban is hasonló esetek történtek. A fertőzés során a kártevő - akkor még nulladik napi - sebezhetőségeket (CVE-2014-6324, CVE-2014-4148, CVE-2015-2360) is kihasznált. Ezek közül az első egy tavaly befoltozott Kerberos biztonsági rés, míg a második egy Windows kernel hiba volt. A harmadik sérülékenységet pedig a mostani, júniusi hibajavító kedden szüntette meg a Microsoft szintén a Windows rendszermagjának kapcsán.
 
A Duqu felismerését, illetve kimutatását nem kizárólag az hátráltatta, hogy nulladik napi biztonsági hibákkal operált, hanem az is, hogy nagyon kevés nyomot hagyott maga után. A kiszemelt számítógépek merevlemezére többnyire nem is másolt fel állományokat, kizárólag a memóriában futott.
 
"A Duqu mögött álló csoport elég magabiztos volt ahhoz, hogy a teljes kiberkémkedési akciót a rendszerek memóriájában hajtsa végre. A károkozó úgy tudott túlélni mindent a hálózatban, hogy közben bármiféle perzisztens, állandó jelenlétre lehetőséget adó technikát alkalmazott volna" - nyilatkozta Kurt Baumgartner, a Kaspersky Lab kutatási igazgatója.
 
Sok káros kiegészítő
 
A Duqu 2.0-ról is elmondható, hogy moduláris felépítésű, viszont jóval több plugin készült hozzá, mint az elődjéhez. Az eddigi vizsgálatok során több mint száz kiegészítője lepleződött le. Ezek egyebek mellett az alábbi feladatok elvégzését szolgálják:
- rendszerinformációk lekérdezése
- fájlműveletek
- hálózat feltérképezése
- távoli vezérlés biztosítása
- felhasználói fiókokkal kapcsolatos adatok kinyerése
- adatbázis-kezelőkkel összefüggő (ODBC) adatok kiszivárogtatása (SQL Server, Oracle, SyBase, DB2, MS SQL, MySQL)
- VNC és PuTTY adatok kiexportálása
- jelszólopás webböngészőkből és egyéb alkalmazásokból
- Active Directory címtárak lekérdezése
- a hálózat folyamatos monitorozása
- adatlopás különböző formátumú fájlokból
- parancssoros ablakban történő műveletvégrehajtás. Rejtett kommunikáció

Már a Duqu első változata is fejlettnek volt mondható a vezérlőszerverekkel való kommunikáció tekintetében, ám ezen a 2.0-ás változat tovább finomított. Jól példázza mindezt, hogy a károkozó első variánsa JPEG-formátumú képekbe ágyazva szivárogtatta az adatokat, míg a 2.0-ás kiadás már GIF-ekkel is képes kommunikálni. Ráadásul sok esetben a rejtett adatok nem közvetlenül kerülnek ki az internetre, illetve a távoli vezérlőszerverekre, hanem előbb néhány belső számítógépet is megjárnak, ezzel is megnehezítve a visszakövetést. További fejlemény, hogy a Duqu 2.0 már 53 különféle user-agentet alkalmaz az adatküldés során, amihez gyakorta a 443-as portot használja.
 
Miért veszélyes a biztonsági cégekre a károkozó?
 
"A kiberbiztonsági vállalatokat sújtó kémkedés egy nagyon veszélyes tendenciát mutat. A biztonsági szoftverek a védelem utolsó vonalát jelentik mind az üzleti, mind az egyéni felhasználók számára" - nyilatkozta Eugene Kaspersky, a Kaspersky Lab elnök-vezérigazgatója. Majd hozzátette, hogy a támadáshoz több motiváló tényező is kapcsolódhatott. Az elkövetőknek célja lehetett például forráskódok, technológiai leírások eltulajdonítása. "Bárhogy is történt, bármi is volt az oka a támadásnak, az biztos, hogy a rosszfiúk egy nagyon drága és szofisztikált keretrendszert vesztettek el, amit évek óta fejlesztettek" - mondta az elnök-vezérigazgató érzékeltetve azt, hogy most már megvan az ellenszere a Duqu 2.0-nak is.
 
Az eddigi vizsgálatok szerint a kiberkémkedési akció során ügyféladatok és üzleti titkok sem sérültek a vállalatnál.