Skip to main content
informatika

Európában is megjelent egy nagy rendszereket fenyegető vírus

Szerző: 2011. október 24.One Comment

„Körülbelül egy évvel az iráni atomerőművek rendszereit megfertőző Stuxnet felfedezése után a Symantec egy ehhez nagyon hasonlító vírust talált, ezúttal Európában.

A biztonsági cég közleménye szerint az új, Duqunek elnevezett malware egyes részei közel azonosnak tűnnek a Stuxnetével, de annyit biztosan lehet állítani, hogy az új vírus megírója ismerte a Stuxnet forráskódját. A Duqu ez utóbbihoz hasonlóan egy valid digitális tanúsítvánnyal ellátott driverfájl segítségével legális kódnak álcázza magát. A tanúsítványt egy tajpeji cég állította ki, lejárata 2012. augusztus 2. volt, de október 14-én, a Symantec vizsgálat kezdetekor a hatóságok visszavonták az érvényességét. Az elemzés szerint a vírus nem replikálja magát, ezért nem nevezhető féregnek, és nem tartalmaz olyan részt sem, melynek célja a rombolás, mint a Stuxnet esetében. A szakemberek szerint inkább egy „felderítő” vírusról lehet szó, mely információkat gyűjt a megcélzott ipari rendszerről, amelyet majd fel lehet használni egy későbbi támadás során.

A kutatást vezető Liam O Murchu elmondta, hogy a legmeglepőbb az volt a számukra, hogy a vírusírók még mindig tevékenykednek, ugyanis ők azt várták volna, hogy a Stuxnet körüli médiafelhajtás, illetve a politikai visszhang után visszavonulnak. A tények szerint viszont folyamatosan dolgoztak.

A Symantec a vírus két változatát október 14-én kapta meg egy meg nem nevezett, „széles körű nemzetközi kapcsolatokkal rendelkező” kutatólaboratóriumtól. A labor nevét a téma érzékenysége miatt O Murchu nem kívánta nyilvánosságra hozni. A mintaként kapott variánsokat ugyanarról a számítógépről gyűjtötték be, azóta a Symantecnél még tíz gépen fedezték fel a fertőzést. A szakemberek nem árulták el sem azt, hogy mely országokban, sem azt, hogy mely vállalatoknál találták meg őket, de annyit közöltek, hogy gyárakban, illetve kritikus infrastruktúrák rendszereiben akadtak rájuk.”

Van olyan elképzelés, hogy éppen Magyarországon történt az első támadás (fertőzés?):

Magyar céget támadhattak elsőként a Duquval
A kiberbiztonsággal foglalkozó orosz Kaspersky cég szakértője elképzelhetőnek tartja, hogy egy magyar tanusítványkiadó céget akartak elsőként megtámadni a Duquval. Állítását azzal támasztja alá, hogy a vírus részeit képező fájlokat először hazánkból töltötték fel a Virustotal nevű oldalra, ahol gyanús fájlok online ellenőrzését lehet elvégezni. A szakértő legalább egy olyan magyar cégről tud, amely áldozatul esett a Duqunak, ám elemzésében nem tér ki arra, mely cégről van szó.
Egy nagyszabású támadáshoz gyűjthet adatokat”

Forrás:
Európában is megjelent egy nagy rendszereket fenyegető vírus, Dajkó Pál, It café, 2011. október 19.
Itthon fedezték fel az ipari kémkedő vírust, Szedlák Ádám, [origo], 2011. október 21.
Veszélyes trójai borzolja a kedélyeket, Kristóf Csaba, Computerworld – Biztonságportál, 2011. október 20.