ZDROJ: www.securityworld.cz
Bezpečnostní experti objevili inovovanou verzi trojského koně Duqu, který je spojován s kyberšpionáží a se snahou vniknout do průmyslových systémů. Jeho největším vylepšením je podstatně lepší odolnost vůči detekci antiviry a jinými bezpečnostními nástroji.
Jak tvrdí Symantec, nový Duqu driver, což je komponenta zodpovědná za nahrání šifrovaného malwaru přímo do zařízení oběti, nese označení mcd9x86.sys a byl zkompilován teprve koncem února.
Sám Duqu byl přitom objeven výzkumníky už v říjnu loňského roku a je spojován s dalším trojanem Stuxnet, který rovněž cílil na průmyslové systémy a s nímž má Duqu řadu společných částí. Duqu na rozdíl od Stuxnetu, který měl destruktivní cíle, ale spíše sbírá citlivé údaje z rlůzných organizací po celém světě.
„Zjištění nového driveru jasně dokazuje, že tvůrci Duqu pokračují i nadále ve své misi," říká Vikram Thakur, security response manager ve firmě Symantec. „A nezabraňuje jim v tom ani poměrně široké povědomí o tomto trojanu."
"Pokud nainvestujete tolik prostředků do Stuxnetu a Duqu, samozřejmě chcete, aby se to vrátilo – a ne zase začínat od samého počátku," myslí si Costin Raiu, šéf výzkumníků ve společnosti Kaspersky Lab. „Podle mne se budeme i v budoucnu setkávat s lehce modifikovanými variantami Duqu a Stuxnetu, které budou založeny na stejné platformě a zároveň budou mnohem lépe odolávat možné detekci. Nejnovější verze Duqu driveru tento směr jasně ukazuje," dodává Raiu.
Duqu také využívá nového serveru command and control (C&C), protože všechny předchozí známé byly už uzavřeny. Ani Symantec, ani Kaspersky však netuší, kde se nalézá.
„Zatím máme k dispozici pouze driver, nikoliv celý přepracovaný trojan Duqu. Ten totiž s uvedeným serverem komunikovat nemusí," tvrdí Raiu. „Chytřejší snad budeme později..."