• Novo Trojan Desenvolvido a Partir do Stuxnet

    Publicado em 19-10-2011 18:00
    0 Comentários Comentários
    A especialista em segurança Symantec, relatou hoje que descobriu a existência de um trojan, que teria sido criado pelos fabricantes do worm Stuxnet, nos computadores de várias empresas em toda a Europa. O trojan foi encontrado nas instalações de produção para sistemas de controle industrial, o que sugere que tenha sido projetado para roubar segredos industriais, em preparação para novos ataques direcionados a empresas específicas.

    De acordo com toda a análise feita pela Symantec, esse worm, chamado "Duqu" por seus descobridores, é semelhante ao Stuxnet em muitos aspectos. A Symantec disse que os autores da praga, pelo menos tiveram acesso ao código-fonte do Stuxnet, ou que o trojan pode ter sido escrito pelos desenvolvedores do mesmo.

    No entanto, ao contrário do Stuxnet que foi projetado para manipular sistemas industriais, "Duqu" é um spyware clássico para a colheita de informações classificadas; os resultados das investigações atuais indicam que ele não contém todas as características para a realização de uma sabotagem, e a Symantec chamou-o de precursor para "um próximo Stuxnet".


    Comunicação com Servidor e Ataques Direcionados

    Semelhantes aos trojans modernos, como é o caso do temido ZeuS, "Duqu" estabelece uma comunicação com um servidor de comando e controle, em formato criptografado; os computadores infectados enviam os dados colhidos para o servidor C & C, e recolhem novas instruções a partir daí. Isso permite que os operadores de botnetsinstalem componentes de software adicionais.

    Em uma outra situação, uma instalação deste tipo parece ter ocorrido: a Symantec disse que descobriu um spyware, que transferiu screenshots e entradas de teclado, além de algumas informações sobre processos em execução e compartilhamentos de rede. Aparentemente, "Duqu" só foi utilizado para ataques direcionados, com o intuito de garantir que ele permaneceria desconhecido por tanto tempo quanto possível. "Duqu" espera 15 minutos, antes que ele se torne ativo depois de ser injetado, provavelmente para evitar que seja detectado através da análise de sandbox. O trojan irá retirar-se do sistema infectado depois de 36 dias, desde o momento de sua instalação.

    Pelo fato do trojan "Duqu" ter sido encontrado nos computadores de fabricantes de sistemas de controle industrial, a Symantec afirmou que acredita que ele poderia ser o precursor de novos ataques semelhantes aos desencadeados pelo Stuxnet. Os atacantes podem usar o roubo de dados do sistema de controle industrial, para preparar novos ataques contra empresas onde esses sistemas são utilizados. Como muitos sabem, o Stuxnet foi usado para sabotar o programa nuclear iraniano.


    Especulações Sobre a Forma de Implantação do Trojan

    A forma como esse spyware é implantado permanece desconhecida. Segundo a Symantec, os sistemas são provavelmente infectados por meio de um instalador separado, ao qual os peritos em anti-vírus ainda não tiveram acesso. Quando a Symantec reportou pela primeira vez a existência de "Duqu", as variantes disponíveis para a empresa haviam sido compiladas no final do ano passado, e provavelmente, foram implantados logo depois. No entanto, posteriormente foi relatada a descoberta de uma nova variante em uma organização na Europa, cuja a data de compilação é de 17 de outubro de 2011.

    Um fator interessante nesse cenário, é que no momento da descoberta, "Duqu" foi assinado com um certificado que teria validade até agosto de 2012, e foi emitido para uma empresa baseada em Taiwan. Segundo a Symantec, os desenvolvedores do trojan "Duqu", roubaram a chave necessária privada para assiná-lo.

    Com a sua assinatura válida, o trojan pode ser injetado no sistema como um driver de kernel, sendo confiavelmente executado sempre que o sistema for iniciado. Em seguida, processos são infectados através de funções que redirecionam chamadas para as suas rotinas de malware. O certificado foi emitido pela VeriSign, e revogado após Duqu ser descoberto em 14 de outubro. Stuxnet também foi assinado usando chaves privadas válidas, que haviam sido emitidas para empresas de Taiwan, o que indica um alto nível de profissionalismo.


    Links de Interesse:

    -W32.Duqu
    - Spyware from Stuxnet
    + Enviar Comentário