Újra lecsapott a Duqu

Néhány éve, 2011 végén a Budapesti Műszaki Egyetemen Híradástechnikai Tanszékén működő CrySyS labor munkatársai találták meg és elemezték először a később Duqu néven hírhedtté vált, igen fejlett kémprogramot. A malware kódja szoros rokonságot mutatott minden idők talán legismertebb kártevőjével, a Stuxnettel, amivel a máig ismeretlen – de a biztonsági szakértők többsége által amerikai és izraeli állami hátterű – támadók sikerrel szabotálták az iráni urándúsító centrifugákat és ezáltal az ország atomprogramját. (Lapunk hasábjain mindkettővel kimerítően foglalkoztunk, aki szeretné felfrissíteni ismereteit, egy gyors kereséssel számos cikkben merülhet el.)

Persze magasan fejlett támadó és kémkedő szoftvereket az azóta eltelt évek során is rendszeresen találtak, az orosz Kaspersky Lab különösen az utóbbi hónapokban többször is címlapokra került nagyobb bejelentéseivel. Februárban egy bankok ellen irányuló támadássorozatról számoltak be, néhány nappal később pedig egy, akár közel két évtizedes múltra is visszatekintő kémkedési tevékenységről. A cég szerint az Equation-művelet mögött álló csoport bizonyíthatóan együttműködött több, korábbi támadással – köztük a Stuxnettel is, így ebben az esetben is szinte bizonyosra vették az állami szerepvállalást.

Duqu 2.0

Amióta tegnap délután megjelent a Duqu 2.0-ról szóló bejelentés, a cinikusok és az összeesküvéselmélet-pártiak megjegyezték, hogy nem az volt a kérdés, az egyre magabiztosabbnak tűnő Kasperskyhez betörnek-e, hanem az, hogy mikor. Az orosz cég egyik mérnöke idén tavasszal, egy új termék prototípusának tesztelésekor azonosított gyanús forgalmat a belső hálózaton, és a nyomokat követve fedezték fel a 2011-es Duqu második generációs, jóval fejlettebb változatát több tucat gépükön.

Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.

Az eddigi elemzések során (melyben a CrySys a Kaspersky kérésére újra részt vett) a két verzió kódjában számos ponton találtak egyezést vagy nagymértékű hasonlóságot. Ugyanakkor a malware fejlesztői természetesen nem ültek a babérjaikon: három, a Duqu 2.0 fejlesztésekor a biztonsági szakértők előtt még ismeretlen nulladik napi Windows-sérülékenységet használtak ki. Az egyiket (CVE-2015-2360) épp a Kaspersky jelentette a Microsoftnak néhány hete, és mint kiderült, a javítást a redmondi vállalat két napja adta ki a júniusi patch-kedd keretében – a Kaspersky ezért várt eddig a bejelentéssel. A hiba kihasználásával a támadók kernel módban tudtak műveleteket végrehajtani, azaz lényegében bármit megtehettek a kompromittált PC-n.

^{Forrás: Kaspersky Lab}

A működés tekintetében komoly változtatások történtek: az új Duqu a fertőzést követően teljes egészében a rendszermemóriában él, a háttértárakon semmit nem tárol. Ez meglehetősen merész egy 18 megabájtos malware-szörnyetegtől, a Kaspersky szerint ennek egyetlen oka lehet: az alkotók annyira biztosak voltak abban, hogy ténykedésük hosszú ideig marad észrevétlen, hogy vállalták a kockázatot. Persze mindent nem tettek fel egy lapra, a hálózat egy fertőzött gépén fenntartottak egy álcázott drivert, melynek segítségével újra megfertőzhettek egy időközben újraindított gépet. A kártevő egyetlen futtatható állományból áll, de a korábbi fejlett támadóplatformokhoz hasonlóan belsőleg moduláris felépítésű, amit a fordítás során csomagoltak egybe.

Megint spear-phishinggel kezdődött

A Kaspersky a Wirednek elmondta, hogy sikerült azonosítaniuk a betörési pontot, ami egy ázsiai munkavállalójuk gépe volt. Az eszköz hiába rendelkezett az összes friss hibajavítással, a fent említett zero-day sérülékenységek segítségével a támadók mégis át tudtak jutni a védelmen. Ezt spear phishinggel, azaz valamilyen hivatalosnak álcázott, de valójában kártékony kódot tartalmazó dokumentummal oldották meg – a bizonyítékot (az alkalmazott postafiókját és böngészési előzményeit) pedig a lebukást követően távolról törölték. Ráadásul az orosz cég szerint mindössze négy órával előzték meg őket, de a biztonsági mentésekből vissza fogják tudni hozni ezeket az adatokat.

Bejutást követően a terjesztést valószínűleg a Kerberos protokoll azóta már foltozott hibáján keresztül végezték, és jogosultságemeléses támadást hajtottak végre egy tartományvezérlő szerver ellen. Ezzel hozzáférési jogosultságot nyertek az igazi célgépekhez, és telepítették a második generációs Duqut – MSI (Microsoft Windows Installer Packages) csomagok útján, majd minden nyomot töröltek a merevlemezekről.

A vizsgálat szerint egyébként nem minden „áldozat” kapta meg a teljes szeretetcsomagot, néhány PC-t csak backdoornak használtak a támadók, és ezek memóriájába csak egy jóval kisebb állományt (fél megabájt) juttattak be. Azért, hogy a felfedezést megnehezítsék, és a lebukást követően egyes példányokat tovább tudjanak üzemeltetni, többféle titkosítást (pl. AES, RC4, Camelia) és tömörítési algoritmust (LZF, LZO, FastLZ, LZJB) használtak. Ezzel elérték, hogy minden egyes telepített malware egyedi legyen, ezért a felderítés rendkívül sziszifuszi folyamattá válik.

Forrás: Kaspersky Lab

Az egyes malware-példányokkal történő kommunikáció, illetve a megszerzett információ kijuttatása szintén olyan módon történt, hogy a generált forgalom ne hívja fel magára a figyelmet. A fentebb említett, újrafertőzésért felelős driver más célt is szolgált: ennek segítségével juttattak parancsokat és szívtak ki információt a rendszerből. A meghajtóprogram (melynek 32 és 64 bites változata egyaránt létezik) lehetővé teszi, hogy a támadók a TCP/IP csomagok manipulálásával a hálózat belső szervereihez is hozzáférjenek. Egy portok közti (443 – SSL, 445 – Samba/Windows fájlrendszer, 3389 – Remote Desktop) „pingpongozós” megoldással lehetővé teszik, hogy az SMB és Remote Desktop hívásokat SSL forgalomnak álcázzák, a célszerverek pedig közvetlenül csak a drivert futtató géppel kommunikálnak.

Technológiai és politikai célpontok

A Kaspersky egyelőre nem tudja pontosan, a támadók mennyi információt szereztek, de azt kijelentette, hogy legjobb tudomása szerint termékeit nem fertőzték meg, így ügyfeleinek nem kell aggódnia azért, hogy a szoftverfrissítésekkel rosszindulatú kód települ a cég védelmi programjain keresztül. A vizsgálat szerint a Duqu 2.0 mögött állókat csak a Kaspersky technológiái érdekelték (például Secure Operating System, Fraud Prevention, Security Network), valamint az, hogy a vállalat milyen módon segít és hogy halad az egyes kiemelt fontosságú APT-elemzésekkel (Advanced Persistent Threat).

Az orosz biztonsági cég azonban nem az egyetlen áldozat – miután fény derült a malware-re, a Kaspersky számos fertőzést azonosított. A célpontok több esetben olyan helyszínek (általában felső kategóriás szállodák) voltak, ahol az elmúlt másfél évben az iráni atomtárgyalások folytak – és melyekből a megbeszéléseket vezető ENSZ Biztonsági Tanács Izraelt (melyet sokan a Stuxnet mögött is valószínűsítenek) kizárta. A politikai indíttatású szállodai (belső megfigyelő és biztonsági rendszerek) kémkedést támasztja alá az is, hogy a szakértők szerint a Duqu 2.0 egy modulja kifejezetten az ilyen rendszerekkel történő kommunikációra került be a malware-be. A többi áldozat egy része pedig közvetlenül is köthető az iráni atomprogramhoz, bár a Kaspersky neveket érthető módon nem hozott nyilvánosságra.

A Symantec a minták alapján egyébként szintén talált fertőzéseket – telekommunikációs szolgáltatók és szoftvercégek rendszereiben is, globálisan. A vállalat szerint néhány esetben a támadók már 2013-ban bejutottak a kompromittált rendszerekbe, de az adatvesztés mértékéről egyelőre nincs információ.

A Kaspersky részletes technikai elemzése a Duqu 2.0-ról itt, a CrySys Lab elemzése pedig itt olvasható.