Дуку
-
Обнаружение Duqu
- Duqu — вредоносная программа, связанная с червем Stuxnet, обнаружена 1 сентября 2011 года.
- Duqu использовал уязвимость нулевого дня в Windows и был создан Unit 8200.
-
Анализ и название
- Венгерская лаборатория CrySyS Lab обнаружила и проанализировала Duqu, назвав его в честь префикса в именах файлов.
- Duqu написан на неизвестном языке программирования и может быть скомпилирован в Visual Studio 2008.
-
Связь с Stuxnet
- Duqu имеет сходство с Stuxnet, включая использование цифровой подписи и сбор информации для будущих атак.
- Symantec и F-Secure считают, что Duqu связан с Stuxnet или имеет доступ к его исходному коду.
-
Эксплойт в Microsoft Word
- Duqu использует уязвимость в Word для обхода механизма разбора шрифтов и атаки на системы Windows.
- Уязвимость была обнаружена в Word и получила идентификатор MS11-087.
-
Цель и методы
- Duqu собирает информацию для атак на промышленные системы управления, но не стремится к их разрушению.
- Duqu может использоваться для киберфизических атак и кражи цифровых сертификатов.
-
Анализ и распространение
- Duqu удаляет всю последнюю информацию с компьютеров и может полностью удалить жесткий диск.
- Symantec анализирует внутренние коммуникации Duqu, но точный метод репликации неизвестен.
- Duqu был обнаружен в ограниченном числе организаций, включая производителей промышленных систем управления.
-
Серверы управления и анализ
- Исследователи обнаружили пристрастие атакующих к серверам CentOS 5.x и серверам в разных странах.
- Касперский опубликовал посты в блогах о серверах управления Duqu.
-
Дополнительные сведения
- В статье упоминаются другие вредоносные программы, связанные с кибервойной, и киберкомандование США.