Давно не виделись, здравствуй! Я – червь!

Антивирусная компания Symantec снова бьет тревогу. Обнаружен новый Stuxnet-образный сетевой червь Duqu, имеющий признаки модульности и драйвер ядра на рутките. По словам специалистов, реализована интернет - «зараза» была явно профессионалами.

«Высокая» и «светлая» цель Duqu заключается в получении контроля над различными промышленными системами и, соответственно, кражи из них информации. Полученные сведения могут быть использованы для атак объектов критической инфраструктуры.

Внутри червь не содержит кода, который связан с ICS-системами, и технически является не-копирующимся трояном для удаленного доступа. Используя протоколы HTTPS и HTTP, код вступает во взаимодействие с командными серверами и скачивает оттуда инструкции для осуществления кражи сведений с целевых систем. Информация локально сохраняется и шифруется. А для дополнительной защиты команды с контрольно-командных серверов передаются в формате JPG.

Интернет-червь во многом повторяет суть своего предшественника Stuxnet, который доставил немало головной боли компаниям в январе этого года, но имеет специфические особенности и продуманные технологии самозащиты. Все это немногозначно свидетельствует о том, что промышленным организациям в скором времени предстоит то еще «веселье».

Сотрудники Symantec полагают, что авторами этих двух сетевых «паразитов» были одни и те же люди, так как «родители» Duqu имели полный доступ к файлам-исходникам Stuxnet и четко представляли алгоритм его работы. Свое название червь получил по расширению оставляемых им файлов - .dq.