Компьютерный вирус Duqu угрожает важнейшим промышленным объектам

Компьютерный вирус Duqu угрожает важнейшим промышленным объектам

Специалисты по компьютерной безопасности предупреждают, что новая версия сложного кибероружия, которая нанесла серьезный вред иранской ядерной программе, может стать предвестником новой волны компьютерных атак.



Новое оружие под названием Duqu, судя по всему, использует оригинальные исходные коды из червя Stuxnet, который атаковал компьютеры на иранском атомном объекте в Натанзе в 2009 и 2010 годах.

Программа незаконно добывает информацию, что в будущем делает возможным новые атаки против специализированных компьютерных систем, которые контролируют электростанции, химические заводы, нефтеперерабатывающие предприятия и очистные сооружения, подчеркивают в компании Symantec и Департаменте внутренней безопасности США, передает inosmi.ru.

"Мы думали, что люди, стоящие за Stuxnet, исчезнут. Мы поймали их с поличным, - заявил The Washington Times аналитик Symantec Лайам О Мурчу (Liam O Murchu). - Вместо этого они вернулись".

"Атакующие ищут информацию, такую как проектная документация, которая потенциально может быть использована в будущих атаках, направленных против систем промышленного контроля", - говорится в выпущенном на прошлой неделе бюллетене Департамента внутренней безопасности.

Системы промышленного контроля считаются одними из самых опасных потенциальных объектов для компьютерных хакеров: ведь манипулируя ими, можно нанести ущерб или даже уничтожить целые предприятия, зависящие от подобных систем. Так, можно подорвать электростанцию, отравить питьевую воду или выпустить в окружающую среду нефть или смертоносные химикаты.

"Эта угроза направлена против ограниченного числа организаций, - гласит бюллетень Департамента внутренней безопасности. - Хотя метод ее распространения еще только предстоит определить, целевой характер угрозы делает социальный инжиниринг (метод проникновения в защищенные системы, основанный на использовании индивидуальной психологии – прим. пер.) весьма вероятным способом атаки".

Атаки методом социального инжиниринга обычно включают в себя приложения к письмам электронной почты, которые специально выглядят так, будто написаны коллегой или другим доверенным источником. Как только пользователь открывает подобное письмо, в его компьютер проникает вредоносное ПО.

Stuxnet, первый пример кибероружия, направленного против систем промышленного контроля, был разработан для уничтожения центрифуг, которые использует Иран для обогащения урана. "Червь" манипулировал компьютерным программным обеспечением, которое управляет этими системами и выводил их из-под контроля.

Так никогда и не было объявлено, кто стоял за Stuxnet, но сложность этого оружия заставила многих обозревателей прийти к выводу, что это было какое-то серьезное государство. Нацеленность против иранской ядерной программы и ряд других намеков, предположительно оставленных авторами червя, позволило некоторым предположить, что ответственность за эти атаки лежит на разведывательных агентствах Израиля или США.

Г-н О Мурчу, чья команда потратила месяцы в прошлом году на изучение Stuxnet, заявил, что Duqu примерно в половине случаев использует исходный код из этого более раннего образца кибероружия. Программа получила свое названия из-за того, что создает компьютерные файлы с префиксом DQ.

"Только создатели Stuxnet имели доступ к исходному коду", - сказал он, добавив, что атакующие работали над созданием Duqu, "возможно, весь последний год".

Первые очевидные свидетельства о появлении этого оружия и о его использовании были обнаружены в прошлом месяце, но атаки могли начаться в декабре, говорится в отчете Symantec.

Питер Сзор (Peter Szor), старший директор по исследованиям в McAfee Inc., подразделении компьютерной безопасности компании Intel Corp., заявил, что теоретически Duqu можно было создать при помощи обратного инжиниринга (восстановления логической или физической модели системы по коду – прим. пер.) Stuxnet.

"Но это было бы очень, очень трудозатратным, требующим большого количества времени и ресурсоемким процессом. Кто бы на это пошел?" - задается вопросом он. Ведь было бы дешевле и проще написать новую программу с нуля.

Другие эксперты отметили, что без доступа к самому исходному году невозможно с уверенностью говорить, что Duqu был разработан теми же самыми авторами.

"Просто взглянув на процессы заражения, нельзя с уверенностью судить о том, использован ли тот же самый исходный код или нет", - считает Ральф Лэнгнер (Ralph Langner), еще один специалист по компьютерной безопасности, изучавший Stuxnet.

Рик Говард (Rick Howard), директор по разведке из iDefense, пошел еще дальше, заявив, что сомневается, что за этими двумя видами оружия стоят одни и те же люди. Stuxnet был "очень серьезно нацелен,… спланирован и использован с военной точностью", - отмечает этот бывший специалист по компьютерной безопасности американской армии.

"На мой взгляд, нет никакого смысла в том, чтобы команда с подобным уровнем знаний и ресурсов использовала одну и ту же технологию и один и тот же код дважды", - сказал он.

Тем не менее, венгерская лаборатория, которая обнаружила Duqu, вновь заявила в выходные о своей убежденности в том, что эти два кибероружия "практически идентичны".

Г-н Сзор заявил, что у McAfee есть предварительные данные о примерно полудюжине потенциальных случаев заражения, включая такие объекты, как автомобильный завод в Иране и компьютерные системы в Великобритании и в США.

По словам Мурчу, Symantec распознал "примерно десять" случаев заражения Duqu в Европе, но программное обеспечение не было предназначено для того, чтобы самораспространяться, как делает большинство обычных вредоносных программ.

"Это не червь или вирус, - говорит он, - он не воспроизводит сам себя". Он сказал, что исследователи не знали, что он проник в системы, которые он инфицировал. Но "некоторые" из оказавшихся зараженными организаций были "компаниями, занятыми в производстве промышленных систем контроля", отметил он.

Атаковавшие при помощи Duqu, очевидно, собирали информацию о промышленных контрольных системах, заявил г-н О Мурчу. Он отметил, что одной из причин того, что Stuxnet был столь опасным, было то, что люди, которые разработали его, имели очень подробную информацию о системе контроля центрифуги, которую они атаковали.

"Зачем команда, стоящая за Stuxnet, сейчас ищет другую информацию о промышленных системах контроля, - спрашивает он. - Когда вы проводите эту пунктирную линию, это дает вам паузу, чтобы подумать".

Представитель Департамента внутренней безопасности США заявил, что департамент продолжит работу с экспертами по компьютерной безопасности, чтобы получить большие информации о Duqu и передать ее компаниям частного сектора, которые владеют и являются операторами критически важных американских промышленных систем контроля.

Г-н Сзор сказал, что первые признаки показывают, что "инфицировано было больше одной машины" в некоторых пострадавших организациях, подчеркнув направленную природу атаки.

Он сказал, что McAfee идентифицировал три из четырех слегка различающихся версий Duqu. "Все выглядит почти так, будто бы каждый образец был создан специально для данной конкретной атаки", - сказал он.

Г-н О Мурчу заявил, что на этот раз атакующие были более внимательны к тому, чтобы спрятать следы своего оружия. Данные, которые Duqu посылал в свою домашнюю базу, компьютерный сервер в Индии, который не работал на этой неделе, были не только зашифрованы, но и спрятаны вместе с фотографиями. "Они предприняли гораздо больше усилий, чтобы скрыть трафик", - отметил он.

Duqu также был разработан таким образом, чтобы стирать самого себя с зараженных компьютеров автоматически по истечении 36 дней, сказал он. Хотя атакующие могли и модифицировать эту функцию.

Ищете бензин — отдаете аккаунт: мошенники запустили фейковые карты АЗС

Киберпреступники решили заработать на очередях за топливом. Специалисты «Эфшесть/F6» обнаружили более 60 фишинговых сайтов, которые маскируются под карты АЗС, игровые сервисы, маркетплейсы и видеохостинги. Схема у всех одна. Пользователю обещают показать, где есть бензин, выдать электронный талон на заправку или подарить бонусы в игре.

Для этого просят указать номер телефона, а затем ввести код из СМС. После этого мошенники получают доступ к аккаунту в мессенджере. Фейковые карты АЗС выглядят вполне убедительно.

 

На сайте предлагают выбрать вид топлива и регион, затем якобы находят несколько заправок. Но сам список не показывают. Вместо него появляется форма «подтверждения номера». В другом варианте преступники копируют оформление настоящего сервиса и требуют авторизацию ради несуществующего электронного талона.

 

Получив код, злоумышленники могут читать переписку, скачивать фото, видео и документы, просматривать контакты и рассылать сообщения от имени жертвы. Иногда владелец даже не сразу замечает взлом: доступ к аккаунту у него сохраняется, пока мошенники тихо хозяйничают внутри.

Та же сеть атакует и детей. Под видом Brawl Stars пользователям предлагают бесплатные ящики и игровую валюту после входа через мессенджер.

 

Более половины найденных сайтов прикрываются брендами маркетплейсов, еще 19% — социальными платформами. Остальные маскируются под карты АЗС, игры, видеосервисы и доски объявлений.

Чаще всего фишинговые страницы размещают в доменных зонах .site, .click, .shop, .lol и .xyz. «Эфшесть/F6» уже направила их на блокировку, но новые адреса продолжают появляться.

RSS: Новости на портале Anti-Malware.ru