Managed hosting door True

Aard Duqu-malware is nog onbekend

 

Het is nog onbekend of de in oktober 2011 ontdekte Duqu-malware hetzelfde doel heeft als de Stuxnet-worm. Bovendien kunnen anti-virusbedrijven het niet eens worden over de bron van Duqu. De broncode lijkt op die van de Stuxnet-worm, maar of het om dezelfde auteurs gaat is niet bekend. Anti-virusbedrijf Symantec denkt dat Duqu slechts een aankondiging is voor een Stuxnet-achtige aanval, omdat Duqu informatie vanaf industriële systemen probeert te achterhalen. Duqu infecteert niet, maar is een 'remote access trojan', die alleen op zoek is naar kritieke informatie en zich verder niet verspreidt.

BitDefender

F-Secure en Kaspersky zijn ervan overtuigd dat Duqu van dezelfde makers komt als Stuxnet. Mikko Hypponen, onderzoeksdirecteur van F-Secure: 'Alleen de originele auteurs van Stuxnet hebben de broncode. Hij is niet beschikbaar, dus dit moet wel dezelfde groep zijn.' Er is nog weinig bekend over hoe de Duqu-malware zich verspreidt en of er zero-day beveiligingslekken gebruikt worden, waardoor hackers een zwakke plek hebben om aanvallen te plegen, zonder dat het betreffende bedrijf er weet van heeft.

Anti-virusbedrijf BitDefender is het oneens met Kaspersky en F-Secure. Volgens het Roemeense bedrijf heeft Duqu niks met het team achter Stuxnet te maken en zou het een compleet ander doel dienen. BitDefender zegt bovendien dat de code van Stuxnet al enkele maanden online te verkrijgen is.

Virustotal

Duqu werd ontdekt door een Hongaar, die de malware op de website Virustotal liet scannen door meerdere anti-virusprogramma's. Keylogger Duqu onthoudt toetsaanslagen, maar kan ook bestanden verbergen via een rootkit. Symantec zegt dat er op 1 september 2011 twee varianten zijn gevonden, maar het kan zijn dat er eerder in 2011 al andere aanvallen zijn geweest. Het is niet goed na te trekken, omdat Duqu zichzelf na 36 dagen verwijderd, nadat het de gestolen informatie naar een server in India heeft gestuurd. McAfee zegt dat de betreffende server inmiddels offline is gehaald.

Behalve de broncode doen ook twee digitale certificaten van Duqu denken aan Stuxnet. Het gaat om de certificaten RealTek en JMicron van hetzelfde bedrijf als bij Stuxnet, namelijk het Taiwanese C-Media. Symantec zegt dat de privésleutel voor signeren was gestolen, waardoor het certificaat gegenereerd kon worden.

Moederschip

Kaspersky denkt dat er een moederschip, een soort kernworm, is voor Duqu, dat computers infecteert. Waarschijnlijk maakt het gebruik van diverse exploits. Kaspersky heeft hier echter nog niets van gevonden en treft alleen sporen van besmette systemen aan. Toch zijn er ook mensen die zich helemaal geen zorgen maken om Duqu, omdat het geen processen aanvalt.

Stuxnet

De computerworm Stuxnet werd juni 2010 ontdekt op industriële apparatuur van Siemens, maar de worm valt ook hardware die op Microsoft Windows draait aan. Er zijn verschillende varianten van Stuxnet die Iraanse organisaties hebben aangevallen, mogelijk om de infrastructuur voor het verrijken van uranium te saboteren. Zowel F Secure als Kaspersky gaven aan dat de aanval alleen heeft kunnen plaatsvinden met steun vanuit een ander land, zoals Israel of Amerika.

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/4238321). © Jaarbeurs IT Media.

?


Lees meer over



Lees ook


 
Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×