Botezat Duqu de către creatorii lui Stuxnet, acest virus informatic iese în evidenţă prin faptul că, în varianta cu nume de cod Duqu 2, a avut curajul să intre pe "uşa cibernetică" a celor de la Kaspersky cu scopul de a extrage informaţii sensibile. Versiunea iniţială, apărută la finalul anului 2007 a utilizat platforma Tilded pentru a se infiltra în reţelele vulnerabile.

Începuturile lui Duqu
Platforma folosită pentru a implementa malware-ul Duqu, dar şi Stuxnet, se numea Tilded şi a fost creată undeva la finele anului 2007, dar sunt informaţii care dau ca dată de debut începutul anului 2008. Tilded a suferit, însă, importante modificări în vara/toamna anului 2010, acestea fiind necesare pentru a evita detecţia din partea soluţiilor antivirus.

Conform datelor centralizate de către experţii Kaspersky, în perioada 2007 - 2011 au fost semnalate mai multe acţiuni care au implicat programe bazate pe platforma Tilded, iar Stuxnet şi Duqu au fost două dintre acestea. În fapt, platforma este un driver care încarcă un modul principal, conceput ca o arhivă criptată. "În acelaşi timp, există un fişier separat de configurare pentru tot programul malware şi un block criptat în registrul sistemului", susţin specialiştii.

Nu mai devreme de sfârşitul anului 2011, autorii Duqu şi Stuxnet au încercat să elimine toate urmele activităţii lor şi au şters toate serverele pe care le-au folosit din 2009 şi chiar mai devreme. Procesul de curăţare a avut loc pe 20 octombrie 2011.

Detectat în 2010, virusul Stuxnet a infectat un software Siemens de control al automatelor industriale foarte utilizat în sectoarele apei, platformelor petroliere şi centralelor electrice.

Ştergerea urmelor şi revenirea în joc
După procesul de ştergere a tuturor urmelor, creatorii Duqu nu au mai dat vreun semn de viaţă aproape un an, până când Symantec a descoperit un nou driver "in-the-wild', foarte asemănător cu fişierele Duqu deja cunoscute. Driver-ul folosit pentru intermediere fusese compilat pe 23 februarie 2012 şi nu avea funcţii noi faţă de versiunile anterioare, principalele modificări fiind făcute pentru a evita detecţia de către programele antivirus.

Revenirea a confirmat ipotezele Kaspersky conform cărora, atunci când investeşti atât de mulţi bani, nu poţi opri activitatea, ci faci toate eforturile pentru a nu fi prins. Cu aproape 50 de victime în întreaga lume, Duqu rămâne unul dintre cei mai misterioşi troieni descoperiţi vreodată, iar faptul că a vizat Iranul este semn că atacatorul are o agendă clar stabilită şi că ţine foarte mult să nu fie detectat. Acest fapt este indicat de straturile numeroase de criptare şi tentative de a păcăli sistemele de detecţie.

În aprilie 2015, este descoperit Duqu 2.0 - o platformă malware foarte complexă care exploatează trei vulnerabilităţi, iar infectările sunt legate de evenimente P5+1 şi de locuri unde au loc întâlniri la nivel înalt între liderii mondiali. Astfel, au fost descoperite victime dintr-o zonă geografică extinsă, de la ţări occidentale, până la Orientul Mijlociu şi Asia. Atacurile au inclus o serie de caracteristici nemaivăzute până în acel moment, cum ar fi, de exemplu, codul care exista doar în memoria operativă. Acesta aproape că nu lăsa nicio urmă.

Duqu 2 a afectat inclusiv sistemele companiei Kaspersky, intruziunea fiind descoperită în timpul unei verificări, care a dezvăluit faptul că este vorba despre o nouă platformă malware a grupării Duqu, care nu mai dăduse niciun semn că ar fi activă din 2012 şi despre se credea că şi-a întrerupt activitatea.

De altfel, despre ce bătăi de cap a dat Duqu 2 celor de la Kaspersky, ne-a povestit Costin Raiu, directorul echipei globale de cercetare şi analiză din cadrul companiei.

"Duqu 2 l-am descoperit ca malware în firma noastră. Cineva care să aibă curajul să atace o firmă de antiviruşi cu un malware, e un lucru surprinzător în sine. Mi-amintesc că totul a început în 2015, în aprilie (...) Noaptea târziu am primit un mesaj de la unul dintre colegii mei că e o situaţie foarte periculoasă şi că avem o infecţie în firmă. Cum colegul respectiv uneori mai face glume, m-am gândit că despre asta ar fi vorba. A doua zi, pe la 6:30, am deschis computerul şi colegul meu era online, ceea ce nu se întâmpla de obicei la acea oră. L-am întrebat ce a păţit şi el a răspuns că în firmă a fost descoperită o infecţie informatică... La început, după ce am început să ne uităm pe date, am crezut că, din greşeală, cineva a lansat un virus şi i-a scăpat de sub control. Nu mi-am imaginat că cineva ne-ar ţinti pe noi direct. Ulterior, am văzut cât de sofisticat este... ", povesteşte Raiu.

Expertul a vorbit şi despre modul în care atacatorii au acţionat: "Modul în care s-a întâmplat a fost foarte interesant: au folosit trei 'Zero-day', exploituri pentru care nu există patch de la Microsoft. Un exploit de genul acesta costă sute de mii de dolari, iar cine a lansat atacul a investit uşor jumătate de milion de dolari pentru a o obţine acces în firmă. Ne-a luat aproximativ o lună să analizăm tot ce s-a întâmplat (...)", a spus Costin Raiu.

Duqu 2 nu s-a mulţumit doar cu atacarea companiei Kaspersky, datele centralizate ulterior indicând faptul că victime au mai fost hoteluri din Geneva, Lagărul Auschwitz Birkenau, precum şi alte firme.

Atacuri ţintite în ţări din Europa până în Asia
La câteva luni după descoperirea lui Duqu, specialiştii de la Symantec anunţau, în noiembrie 2011, că noul virus informatic, comparabil ca forţă cu Stuxnet, autor mai ales al unor atacuri contra programului nuclear iranian, a fost detectat în opt ţări: Franţa, Olanda, Elveţia, Ucraina, India, Iran, Sudan şi Vietnam.

În plus faţă de prezenţa sa constatată în cele opt state, Symantec a anunţat "rapoarte neconfirmate" despre posibile contaminări de către Duqu în alte patru ţări, precum Marea Britanie, Austria, Ungaria şi Indonezia. Experţii notau, la vremea respectivă, că Duqu poate profita de o lacună în securitatea sistemului de operare Windows pentru a se instala într-un calculator ascunzându-se într-un document Word, procesorul de text al gigantului american de software Microsoft.

La scurt timp după detectarea lui Duqu, compania Bitdefender anunţă lansarea unui utilitar de dezinfecţie. Soluţia era destinată stopării acţiunilor familiei agresive de malware de tip rootkit (programe ce permit controlul de la distanţă al unui calculator infectat), ce avea la bază codul sursă al Stuxnet.

"Noua ameninţare, supranumită Rootkit.Duqu.A, conţine multe dintre funcţiile rootkit-ului Stuxnet, bănuit că ar fi fost folosit în diverse acţiuni de spionaj industrial. Stuxnet are la bază o componentă keylogger, care stă ascunsă în sisteme compromise şi adună informaţii de la acestea, înregistrând tot ceea ce este scris de la tastatură, de la site-urile accesate, până la parole şi nume de înregistrare ale conturilor online. Rootkit.Duqu.A este bazat pe tehnologii relativ vechi, dar infecţiile cu acest tip de ameninţare pot duce la pierderea informaţiilor confidenţiale, furt de proprietate intelectuală sau alte riscuri asociate cu prezenţa unui program de tip keylogger în sistem", precizau experţii Bitdefender.

Povestea lui Duqu, urmaşul celebrului Stuxnet, a scos la iveală vulnerabilităţile din sectorul industrial, de la vremea respectivă. Practic, troianul a avut drept scop să colecteze date şi alte informaţii de la entităţi precum fabricanţii de sisteme de control din industrie, cu scopul de a lansa cu mai multă uşurinţă atacuri împotriva unor terţe părţi.

Cel mai probabil, hackerii sunt în căutarea unor planuri de concepţie mult mai sofisticate ce i-ar putea ajuta să atace instalaţii de control industrial, iar companiile specializate în detectarea unor astfel de ameninţări nu au de gând să stea cu mâinile în sân şi pregătesc în propriile laboratoare elemente de reacţie performante. Cert este că ameninţarea cibernetică va continua să existe... AGERPRES/(AS - autor: Daniel Badea, editor: Mariana Nica, editor online: Anda Badea)