Mutação do vírus Stuxnet foi detectado na rede

Publicado: 20 de outubro de 2011 em Redes e Wi-FI, Sem categoria, Tecnologia

(Fonte da imagem: The Guardian)

Uma variação do temido vírus Stuxnet, que atacou o programa nuclear do Irã, foi encontrada na Europa. Especialistas afirmam que a sua codificação tem alto poder de destruição e pode criar até mesmo uma espécie de guerra cibernética em níveis mais elevados.

Estados Unidos e Israel foram acusados de estar por trás do Stuxnet, mas na época nada foi confirmado oficialmente. A mutação do vírus foi descoberta pela Symantec e, inicialmente, foi batizada de Duqu. A companhia não informou quais empresas estavam entre os alvos do novo malware descoberto, e uma investigação foi iniciada.

“A maior parte do código encontrado é similar ao Stuxnet”, explicou a Symantec em nota oficial. “Dessa forma, é bem provável que o novo vírus tenha sido feito pelos mesmos autores ou ainda por alguém que teve acesso ao código”, afirma a empresa.

O Duqu foi enviado à Europa a partir de um servidor na Índia, mas apenas essa informação não é o suficiente para determinar quem é o autor do código. Depois de atacar um número específico de empresas na Europa, o vírus seria desativado automaticamente 36 dias depois.

Novo Trojan Desenvolvido a Partir do Stuxnet

A especialista em segurança Symantec (prefiro o kaspersky , mas blz, funciona também), relatou ontem , que descobriu a existência de um trojan, que teria sido criado pelos fabricantes do worm Stuxnet, nos computadores de várias empresas em toda a Europa. O trojan foi encontrado nas instalações de produção para sistemas de controle industrial, o que sugere que tenha sido projetado para roubar segredos industriais, em preparação para novos ataques direcionados a empresas específicas.

De acordo com toda a análise feita pela Symantec, esse worm, chamado “Duqu” (kkkkkkkkk , sem comentarios) por seus descobridores, é semelhante ao Stuxnet em muitos aspectos. A Symantec disse que os autores da praga, pelo menos tiveram acesso ao código-fonte do Stuxnet, ou que o trojan pode ter sido escrito pelos desenvolvedores do mesmo.

No entanto, ao contrário do Stuxnet que foi projetado para manipular sistemas industriais, “Duqu” é um spyware clássico para a colheita de informações classificadas; os resultados das investigações atuais indicam que ele não contém todas as características para a realização de uma sabotagem, e a Symantec chamou-o de precursor para “um próximo Stuxnet”.

Comunicação com Servidor e Ataques Direcionados

Semelhantes aos trojans modernos, como é o caso do temido ZeuS, “Duqu” estabelece uma comunicação com um servidor de comando e controle, em formato criptografado; os computadores infectados enviam os dados colhidos para o servidor C & C, e recolhem novas instruções a partir daí. Isso permite que os operadores de botnetsinstalem componentes de software adicionais.

Em uma outra situação, uma instalação deste tipo parece ter ocorrido: a Symantec disse que descobriu um spyware, que transferiu screenshots e entradas de teclado, além de algumas informações sobre processos em execução e compartilhamentos de rede. Aparentemente, “Duqu” só foi utilizado para ataques direcionados, com o intuito de garantir que ele permaneceria desconhecido por tanto tempo quanto possível. “Duqu” espera 15 minutos, antes que ele se torne ativo depois de ser injetado, provavelmente para evitar que seja detectado através da análise de sandbox. O trojan irá retirar-se do sistema infectado depois de 36 dias, desde o momento de sua instalação.

Pelo fato do trojan “Duqu” ter sido encontrado nos computadores de fabricantes de sistemas de controle industrial, a Symantec afirmou que acredita que ele poderia ser o precursor de novos ataques semelhantes aos desencadeados pelo Stuxnet. Os atacantes podem usar o roubo de dados do sistema de controle industrial, para preparar novos ataques contra empresas onde esses sistemas são utilizados. Como muitos sabem, o Stuxnet foi usado para sabotar o programa nuclear iraniano.

Especulações Sobre a Forma de Implantação do Trojan

A forma como esse spyware é implantado permanece desconhecida. Segundo a Symantec, os sistemas são provavelmente infectados por meio de um instalador separado, ao qual os peritos em anti-vírus ainda não tiveram acesso. Quando a Symantec reportou pela primeira vez a existência de “Duqu”, as variantes disponíveis para a empresa haviam sido compiladas no final do ano passado, e provavelmente, foram implantados logo depois. No entanto, posteriormente foi relatada a descoberta de uma nova variante em uma organização na Europa, cuja a data de compilação é de 17 de outubro de 2011.

Um fator interessante nesse cenário, é que no momento da descoberta, “Duqu” foi assinado com um certificado que teria validade até agosto de 2012, e foi emitido para uma empresa baseada em Taiwan. Segundo a Symantec, os desenvolvedores do trojan “Duqu”, roubaram a chave necessária privada para assiná-lo.

Com a sua assinatura válida, o trojan pode ser injetado no sistema como um driver de kernel, sendo confiavelmente executado sempre que o sistema for iniciado. Em seguida, processos são infectados através de funções que redirecionam chamadas para as suas rotinas de malware. O certificado foi emitido pela VeriSign, e revogado após Duqu ser descoberto em 14 de outubro. Stuxnet também foi assinado usando chaves privadas válidas, que haviam sido emitidas para empresas de Taiwan, o que indica um alto nível de profissionalismo.

Não sei não , mas o jeito é:

imagem

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s