Иран сообщил об обнаружении вируса Duqu – троянца, основанного на вирусе Stuxnet, который около года атаковал иранские атомные объекты. Командующий иранской гражданской обороны Голамрезу Джалали заявил, что страна готова встретить киберугрозу во всеоружии. Он рассказал, что Иран располагает необходимым ПО для борьбы с вирусом.
Компания Symantec первой обнаружила новый вирус. Специалисты Symantec установили, что Duqu распространяется через электронную почту в качестве вложенного файла формата .doc. Злоумышленники воспользовались ранее неизвестной и незакрытой уязвимостью в ядре Windows, допускающей выполнение вредоносного кода. Чтобы исправить недоработку, Microsoft уже выпустила соответствующий патч.
"W32.Duqu использует бреши в защите сертификатов, и пока эти проблемы будут существовать, нельзя говорить о полной победе над вирусом", - говорит ведущий технический специалист Symantec Олег Шабуров. По его словам, пока жертв у Duqu немного, однако эксперт не исключает, что вскоре W32.Duqu будет обнаружен в новых компаниях. "Возможно, мы также увидим модифицированные версии вируса уже в ближайшие месяцы", - полагает Шабуров.
Директор Центра вирусных исследований и аналитики ESET Александр Матросов тоже считает, что победу над Duqu праздновать рано: "И Stuxnet, и Duqu были обнаружены после того, как проникли в ИТ-инфраструктуру, то есть во время расследования уже произошедших инцидентов", - говорит он. По словам Матросова, это означает то, что злоумышленники хорошо представляют механизмы работы защитного программного обеспечения и используют тактику, которая позволяет им оставаться долгое время незамеченными. "На данный момент у нас реализованы механизмы противодействия для всех известных нам модификаций Duqu и уязвимостей, использующихся в нем", - добавил эксперт.
Эксперты из "Лаборатории Касперского" также считают, что пока преждевременно говорить о победе над Duqu. "На сегодняшний день имеется ограниченная информация о троянской программе Duqu. Это связано с тем, что в отличие от Stuxnet, дополнительные модули Duqu находятся на серверах злоумышленников, к которым у вирусных аналитиков доступа нет", - говорит ведущий вирусный аналитик "Лаборатории Касперского" Сергей Голованов.
Иран уже второй раз подвергается серьезной вирусной атаке. Александр Матросов предполагает, что Stuxnet и Duqu, вероятней всего, исходят от одних и тех же злоумышленников. Вирусы основываются на технологической преемственности и преследуют похожие цели. "В случае с Duqu пока мотивация атаки до конца не ясна. Но можно утверждать наверняка, что бюджет подобной атаки может потянуть достаточно влиятельная организация", - добавил он.
Сергей Голованов предполагает, что Duqu был создан специально, чтобы шпионить за иранской ядерной программой. В качестве подтверждения он приводит пример с апрельской кибератакой на Иран вирусом Stars. "По данным IrCERT (Iran's Computer Emergency Response Team), Duqu - это усовершенствованная модификация Stars. Если информация в отчетах этой организации верна, то это означает, что данная троянская программа была создана специально, чтобы шпионить за иранской ядерной программой", - заключил эксперт.
О Duqu стало известно в октябре этого года. Вирус атаковал производственные предприятия Ирана, Индии, Судана и некоторых европейских стран. Его целью был сбор информации об имеющемся на предприятии оборудовании и системах, используемых для управления производственным циклом.
Предшественник Duqu, червь Stuxnet, был обнаружен в 2010 году. По мнению экспертов, его целью была иранская ядерная программа, а точнее он должен был вывести из строя центрифуги по обогащению урана. Цель была достигнута - Иран вынужден был массово заменять свои центрифуги, так как они работали со сбоями. Атака Stuxnet отбросила иранскую ядерную программу на несколько лет назад.
Комментарии