Szerző: Gálffy Csaba

2011. október 25. 13:10

Budapesti csapat találta meg a Stuxnet utódját

Bár az első híradásokban névtelen maradt a kártevő felfedezője, ma már tudni, hogy a Budapesti Műszaki Egyetemen működő CrySyS labor munkatársai találták meg és írták le először az új kártevőt, amelyet Duqu névre kereszteltek.

A Stuxnet hatalmas port kavart az IT-biztonsággal foglalkozó cégek és az általuk védett szervezetek körében - a rendkívül kifinomult kártevő ugyanis korábban hallatlan fejlettséggel és célzott módon lépett működésbe, kihasználva több foltozatlan (0-day) sebezhetőséget. A Stuxnet rendkívüli voltára utal, hogy a visszafogott becslések szerint is legalább 15-20 magasan képzett szakértő közös munkájának eredménye lehetett, akik a megcélzott ipari vezérlőrendszerek felépítésében is részletes tapasztalattal bírnak. A többi már történelem: a továbbra is rejtélyes támadók sikeresen szabotálták az iráni urándúsító centrifugákat, azonban számtalan indonéziai és indiai ipari rendszer is fertőzötté vált.

A Duqu felfedezésének horderejét az adja, hogy kódja szoros rokonságot mutat a Stuxnet egy részével. A Budapesti Műszaki Egyetem Híradástechnikai Tanszékén működő CrySyS Adat- és Rendszerbiztonság labor munkatársai vizsgálati jelentésükben nem bocsátkoznak találgatásokba azt illetően, hogy milyen kapcsolat létezhet a két kártevő készítői között, az elemzés szerint azonban valószínűnek tartják, hogy a Duqu-csapat hozzáfért a Stuxnet forráskódjához. Ebben az esetben sem tiszta, hogy a két program közül melyik volt előbb, vagy csupán egy közös tőről származó, azonban függetlenül fejlesztett kártevőkről van-e szó. Persze lehetséges az is, hogy a Duqu készítői csupán visszafejtették a Stuxnet kódját és egy ahhoz nagyon hasonlót írtak, hogy ezzel a gyanút másfelé tereljék.

Csak részleteket ismerünk

A kártevő első felbukkanásának időpontja 2011 szeptember 1-e volt, a Symantec szerint azonban a támadások akár 2010 decembere óta folyhatnak. Tovább árnyalja a képet, hogy a fordítási dátumok szerint a legutóbbi felfedezett verzió október 17-i, a támadók tehát folyamatosan, ezekben a napokban is frissítik a kártevőt. A CrySyS által felfedezett kártevő csupán a teljes támadás "robbanófeje", a telepítőről egyelőre semmilyen információ nem áll rendelkezésre. Nem tudni így azt sem, hogy a Duqu felhasználói interakció nyomán települ-e, vagy valamilyen féreg telepíti - esetleg valamilyen új, foltozatlan hibát kihasználva. Ennek megfelelően egyelőre csupán a kártevő által megfertőzött gépek felismerése lehetséges, a preventív lépésekre ma nincs lehetőség.

A CrySyS összehasonlító táblázata a két kártevőt illetően.

A vírusvédelem jelenlegi állapotáról ugyanakkor lesújtó képet ad a Duqu. A kártevő érzékeny rendszerfájlok működésébe nyúl bele, illetve tucatnyi vírusirtó meglétére kérdez rá - ahogy a Buherablog fogalmaz, ennyi adat alapján legalábbis gyanúsnak kellene tekinteni egy ilyen programot, a rendszerhívásokat elterelő hookok és a futtatható memória foglalása együtt szépen kiadja egy kártevő profilját.

Mi is a Duqu?

A Symantec és a CrySys elemzése alapján a Duqu feladata kapcsolódni az irányító szerverhez és onnan különböző adattolvaj alkalmazásokat letölteni, majd az összegyűjtött információkat kijuttatni a rendszerből. A Duqu HTTP- és HTTPS-kapcsolatokat épít fel egyetlen indiai IP-cím felé (206.183.111.97) - ezt a kártevő felfedezése óta lekapcsolták. A felfedezett variánsok egyelőre csak ezt az egyetlen címet használták, így a vállalati hálózati naplófájlok vizsgálatával jó eséllyel kiszűrhető a fertőzöttség.

Az eddig elfogott példányok feladata a megfigyelés volt, a központtól a kártevő letöltötte a megfelelő adatgyűjtő alkalmazást, majd az adatokat visszaküldte. Az adatforgalom egyéni protokollon keresztül folyik, az adatforgalom álcázásához a Duqu sok esetben dummy .jpg-ket használ, amelyek után küldi a valódi információt. A felfedezett esetekben az adatgyűjtés a számítógépen futó folyamatok listájára, képernyőmentésekre, hálózati felderítésre és billentyűzetfigyelésre terjedt ki.

A Duqu feladatához elengedhetetlen, hogy a fertőzött gépen rejtve maradjon. A kártevőt a telepítő alkalmazás meghajtóként regisztrálja így az a rendszer indításakor betöltődik. A kernel driver ellenőrzi, hogy nem csökkentett módban és nem debuggerben fut, majd betölti a megfelelő DLL-eket. A kártevő részei titkosított formában települnek, ezeket csak betöltéskor, több lépcsőben bontja ki a kernel driver - a bedrótozott jelszavak és az egyszerű titkosítás miatt ez csak  obfuszkációt, azaz a kód elrejtését szolgálja, ami megnehezíti a mintaalapú felismerést.

Bár a Symantec és a CrySyS nem hozta nyilvánosságra, az F-Secure szakértője, Mikko Hypponen szerint a driver aláírásához a tajvani C-Media feltehetően lopott kulcsát használták. Mint ismeretes, a Stuxnet is hasonló, legitim kulcsokkal operált, ott előbb a Realtek, majd annak letiltása után a JMicron kulcsával írták alá a kártevőt. A C-Media kulcsa eredetileg 2012 augusztusában járt volna le, azonban október 14-én visszavonták.

Toxikus vezetők szivárványa

Az IT munkakörülményeket, a munkahelyi kultúrát alapjaiban határozzák meg a vezetők, főleg ha még toxikusak is.

Toxikus vezetők szivárványa Az IT munkakörülményeket, a munkahelyi kultúrát alapjaiban határozzák meg a vezetők, főleg ha még toxikusak is.

A megnövekedett nemzetközi figyelem azonnal megtette hatását, a Kaspersky blogja szerint a különböző víruskeresők  Duqu-példányokra bukkantak Magyarország mellett Ausztriában, Indonéziában és az Egyesült Királyságban illetve még egy országban. Amúgy az eredeti, CrySyS-mintát is csupán a Kaspersky köti Magyarországhoz, az eredeti beszámolóban ez az információ nem szerepel. A C-Media aláírása mellett ezekben a támadásokban JMicron, IBM és Adaptec drivereket szimuláló Duqu-változatokat is találtak, ezekhez azonban nem tartozik digitális aláírás.

A felfedezett esetek közös jellemzője, hogy a vírusirtók egyik esetben sem találtak "payload", munkavégző egységet, ami ismeretlen, a magyarországitól eltérő támadást valószínűsít. Ez a feltételezés összhangban van a szakértők véleményével, a Duqut a Stuxnethez hasonlóan rendkívül pontosan célzott támadásokhoz használják, egyedi "robbanófejjel". Azonban amíg a Stuxnet válogatás nélkül fertőzve kereste a kulcshoz a zárat (a Siemens ipari vezérlőrendszereket), a Duqu egyelőre ismeretlen telepítője alaposan megválogathatja a megtámadásra érdemes gépeket.

Mire megy most ki a játék?

A CrySyS labor döntése értelmében a korábban nyilvánosságra hozott információkon kívül nem közölnek újabb adatokat, így azt sem, hogy pontosan mely céget-cégeket támadott meg a Duqu, illetve hogy pontosan milyen információkat gyűjthetett a kártevő. A Symantec saját elemzése ipari infrastruktúrát és rendszergyártókat emleget, mindenféle konkrétumok nélkül. A Kaspersky arról számolt be, hogy pontosan ismerik az áldozatot, azonban ők sem nevezik meg azt.

A korábban zajlott magasszintű támadások alapján elképzelhető, hogy a Duqu feltételezett magyarországi bevetése egy nagyobb nemzetközi támadás előkészítését szolgálta, így olyan hazai céget támadtak meg, amely ezt elősegítheti. Szerencsére a Symantec információi szerint a felderített esetekben a Duqu nem járt sikerrel, értékes adathoz nem fért hozzá. Hosszútávon azonban a helyzetet súlyosbítja, hogy a Stuxnethez hasonlóan a Duqu is moduláris felépítésű, így a telepítő, a Duqu illetve a megfigyelő program hármasa gond nélkül cserélgethető, a titkosítás használatával pedig a legtöbb heurisztika megkerülhető. További gondot jelent, hogy a Duqu csupán 36 napot tölt a fertőzött gépen, ezután beszünteti működését és törli magát a rendszerről.

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról