Специалисты компании Symantec предупреждают о появлении опасной вредоносной программы Duqu, имеющей поразительное сходство с нашумевшим червём Stuxnet.
Stuxnet, появившийся в 2010 году, по мнению
ряда экспертов, стал «прототипом кибероружия, создание которого
повлечёт за собой новую гонку вооружений». Этот червь способен нарушить
работу автоматизированных систем управления SCADA фирмы Siemens.
Выяснилось, что его главной целью были иранские атомные станции,
однако в числе пострадавших оказались также предприятия США, России,
Великобритании, Индии и некоторых других стран.
Сообщается, что отдельные фрагменты кода трояна Duqu едва ли не в
точности копируют код Stuxnet. Более того, найденные файлы драйверов
имеют те же цифровые подписи, что и у нашумевшего червя. Срок их
действия истекает в августе 2012 года, а владельцем является некий
тайваньский производитель электронных компонентов.
Duqu атакует европейские предприятия. Главная задача трояна — сбор
конфиденциальных данных об имеющемся оборудовании и системах,
используемых для управления производственным циклом. Это может быть
любая информация, которая пригодится при организации нападения:
скриншоты, логи с клавиатуры, список запущенных процессов, данные
учётных записей пользователей, названия открытых окон, сетевая
информация, сведения о домене, имена дисков, файлов и пр.
В отличие от Stuxnet, новый троян не создаёт своих модификаций, но
способен загружать дополнительный вредоносный контент с удалённого
сервера. Обмен данными с таким узлом может осуществляться по протоколам
HTTP и HTTPS. Другая особенность Duqu — ограниченный срок действия:
через 36 дней вредоносная программа самоуничтожается.
