Połącz się z nami

Publikacje

Duqu – niszczyciel światów

W 2012 roku świat się skończy. Nie będzie to fala, ani wielki kamień, ani matka natura. Nie będzie to również Bóg. Nadciąga plaga stworzona przez człowieka ery cyfryzacji. Może doprowadzić do wojny i nie bierze jeńców?

Niepozorny mail trafił na skrzynkę szefa w godzinach popołudniowych. Temat w charakterze: ?Prośba o wznowienie usługi? nie zapowiadał nic poza zleceniem wykonania czynności administracyjnych pracownikowi niższego szczebla. W mailu czaiło się jednak pewne niebezpieczeństwo. Była to bowiem wiadomość wygenerowana przez Duqu, robaka zdolnego paraliżować swoim jadem całe rządy. Jest to jedno z największych zagrożeń komputerowych naszych czasów. Należy do nowej rasy Trojanów i wirusów. Zabawa z nim kończy się dla wszystkich mniej więcej tak, jak każdy odcinek Happy Tree Friends dla jego bohaterów. Nasz niczego niepodejrzewający odbiorca nie miał najmniejszego pojęcia, że otwierając załączony dokument Word, być może sprowadził na siebie i całą firmę nieodwracalną zagładę?

Jedno kliknięcie przesądziło o wszystkim. Duqu wydostał się ze swojego Trojana i nic już nie było w stanie zatrzymać lawiny katastrof, jakie nawiedziły firmową sieć. Duqu działał z ukrycia. Zaszył się w pamięci komputera i czekał na dogodny moment, kiedy użytkownik odejdzie od klawiatury. Chwilę potem zaczął przejmować kontrolę nad całą siecią.

Kiedy tylko zarejestrował brak aktywności myszki i klawiatury przez 10 minut, postanowił działać i zaczął infekować dysk nieszczęśnika. Chwilę potem dobierał się już do dysków innych osób zalogowanych do tej samej sieci. Niewinny mail stanowił furtkę do poufnych danych firmy. Zanim ktokolwiek zorientował się w sytuacji, Duqu trzymał już firmę za gardło. W jego posiadaniu były hasła dostępowe, dane o pracownikach i systemach zabezpieczeń, które zresztą już dawno wyszły z firmy pod przykrywką zwykłego transferu danych. Nawet system oświetlenia budynku, w którym znajdowali się pracownicy, znalazł się teraz pod kontrolą zupełnie anonimowej siły.

Duqu pojawił się w firmie zaledwie kilka godzin temu, a już nie było dla nikogo ratunku.

?Duqu wyśledzono po seulskim adresie IP?, ujawnia Alexander Gostev, specjalista do spraw programów antywirusowych, pracujący dla Kaspersky Lab i autor jednego z pierwszych raportów dotyczących tajemniczego robaka. ?Niestety ślad urwał się po tym, jak dysk został zainfekowany przez innego szkodnika, który zaczął wykorzystywać go jako proxy do dostarczania wirusa?.

Duqu nie powstał tak naprawdę po to, aby paraliżować sieć komputerową. Jego zadaniem jest monitorować i wykradać informacje. Po zainstalowaniu się na jednym z komputerów infekuje on wszystkie inne podłączone do tej samej sieci. Dlatego właśnie postrzega się go częściej jako robaka, aniżeli wirusa. Po infiltracji sieci nawiązuje on połączenie z serwerem sterującym w celu wymiany danych. Ma on za zadanie przesyłać informacje o systemie, w którym rezyduje i informować o jego słabych punktach.

Na całym świecie pojawiło się kilka wersji tego potwora. Wśród atakowanych krajów znalazła się Francja, Holandia, Szwajcaria, Ukraina, Austria, Węgry, Iran, Sudan, Wietnam, Indonezja i Wielka Brytania. ?Nie znaczy to jednak, że Duqu nie powędrował również do innych krajów. Ma on bowiem możliwość wykasowywania wszystkich śladów swojej obecności po 36 dniach od pierwszej infekcji?, wyjaśnia Gostev.

Aby trudniej było go wykryć, Duqu ma również za zadanie ukryć informacje, które od nas wykrada, szyfrując je i umieszczając w plikach obrazu. W ten sposób może on opuścić ?wykorzystaną? sieć bez wzbudzania jakichkolwiek podejrzeń z całym bagażem newralgicznych danych.

?Jest to przerażająco precyzyjny kawałek oprogramowania?, przyznaje Gostev. ?Może on niepostrzeżenie monitorować aktywność aplikacji w systemie Windows, zbierać informacje, wyszukiwać pliki, robić screenshoty, przechwytywać hasła i wysyłać cały ten ?delikatny szajs? do serwera sterującego?.

W tym wszystkim niezwykle ciekawy jest jednak związek Duqu z innym równie dokuczliwym robakiem o nazwie Stuxnet, który został stworzony w celu zakłócenia działania irańskiego programu nuklearnego. Jego domniemanych twórców upatruje się w szeregach izraelskiego wywiadu, CIA i irańskich przeciwnikach zbrojeń jądrowych.

W 2010 roku Stuxnet zatrzymał proces pozyskiwania paliwa nuklearnego przez Iran, uszkadzając odwierty gazów wykorzystywanych do wzbogacania uranu, w następstwie czego może on być używany w celach zbrojeniowych. Zdaniem analityków, malware trafił do irańskiego systemu bezwiednie na zainfekowanym nośniku danych USB. Miał go przynieść niczego niepodejrzewający rosyjski inżynier, który pracował w 2009 roku w fabryce w mieście Natanz.

?Właśnie tak łatwo jest spowodować jeden z najbardziej agresywnych cyber ataków w historii?, wyjaśnia analityk do spraw bezpieczeństwa, Richard Clooke z PC Tools. ?Kiedy Stuxnet został wprowadzony do systemu, dokonał on ogromnych zniszczeń i pognał wprost do serca, wyszukując i sabotując newralgiczne punkty sterowania odwiertem?.

Zniszczenia były ogromne. Około 1000 odwiertów musiało zostać odłączonych, a wszystko to za sprawą bezobsługowego Stuxneta. Robak był wredny do szpiku kości i nic nie było w stanie go powstrzymać.

?Szacuje się, że za sprawą tego ataku program nuklearny został cofnięty o dwa lata?, dodaje Clooke.

Nikogo zatem nie zdziwiła wrzawa, jaka powstała po raporcie sporządzonym przez Kaspersky Lab na temat Duqu, w którym doszukano się powiązań z kodem źródłowym Stuxnetu. Wszystkie agencje bezpieczeństwa zdębiały z przerażenia w obawie o bezpieczeństwo swojego rządu i jego sekretów.

Analitycy z Kaspersky Lab twierdzą, iż znaleźli fragment kodu, który jest bezpośrednim dowodem pokrewieństwa obu robaków. Ów fragment kodu pozwala im maskować się w systemie, oszukując przy tym wszelkie filtry, programy antywirusowe, system operacyjny Windows i samego użytkownika.

?W teorii Duqu może być efektem inżynierii wstecznej Stuxnetu?, wyjaśnia Clooke. ?Niemniej jednak, aby wygenerować coś tak złożonego jak Duqu tylko na podstawie fragmentarycznych planów Stuxnetu, które pojawiły się na sieci za pośrednictwem różnych niezależnych hakerów, potrzeba ogromnego nakładu pracy i sporych środków finansowych?.

Implikacja tego stwierdzenia jest zatem oczywista. Duqu został stworzony przez tych samych ludzi, którzy napisali Stuxnet. Pojawiają się również teorie, iż Duqu jest jedynie prekursorem kolejnej wersji Stuxnetu, który miałby być infiltratorem stojącym na straży globalnego nieporządku…

Jeszcze gorszą wiadomością jest w tym wypadku fakt, iż zarówno Stuxnet, jak i Duqu są uruchamiane z platformy, która jest w stanie skłonić każdy rodzaj malware?u do wykonania dowolnego zadania.

Wiadomość ta ma dramatyczny wpływ na przyszłość wszelkich globalnych cyber wojen, w których robaki stanowić będą jedynie tryby w dużo większej machinie wojennej. Ktoś może wykorzystać infiltrujące sekwencje kodu Stuxnetu i uzbroić je w dużo potężniejsze ?głowice nuklearne?, wycelowane w coś znacznie bardziej newralgicznego niż odwierty gazowe.

W myśl tej logiki Duqu nie stanowi w obecnej formie dużego zagrożenia, z uwagi na brak jakiejkolwiek ?głowicy?. Uzbrojenie go w nią nie stanowi jednak dużego problemu, a w połączeniu z nadzwyczajnymi zdolnościami infiltracyjnymi może on zaatakować dowolny cel.

?Platforma ta jest niczym uniwersalna wyrzutnia rakiet dalekiego zasięgu?, twierdzi Costin Raiu, szef globalnego zespołu inżynierów i analityków z Kaspersky Lab. ?Co więcej, atak może zostać przeprowadzony przy minimalnych kosztach i środkach?.

?Jeśli chcesz wykraść konkretne dane lub dokumenty, nie potrzebujesz działa kalibru Stuxnetu. Do tego celu wystarczy ci sama platforma, która skupia swoją uwagę jedynie na szpiegowaniu?.

Raiu wierzy, iż wszystkie zaawansowane ataki, które miały miejsce na przestrzeni kilku ostatnich lat, są dowodem istnienia ściśle tajnego laboratorium opracowującego wyspecjalizowaną cyber broń. Duqu lub ?Syn Stuxnetu?, jak przyjęło się również o nim mówić, jest czymś, czego do tej pory nikt na świecie jeszcze nie widział. Jest rewolucyjny i wysoce niebezpieczny, a wszelkie porównania do wynalezienia broni nuklearnej są w tym wypadku jak najbardziej zasadne.

Kaspersky doszedł do wniosku, iż do tej pory powstało przynajmniej siedem programów implementujących i inicjujących złowrogą platformę. ?Jest to niezbędne oprogramowanie, którego zadaniem jest wprowadzić niepostrzeżenie intruza do komputera, który znalazł się na celowniku?, wyjaśnia Raiu. Stuxnet korzystał z dwóch takich programów wyśledzonych przez Kaspersky Lab. Kolejne dwa typy odpowiedzialne były za wprowadzenie Duqu, a w cyberprzestrzeni istnieją jeszcze przecież trzy powiązane z do tej pory niewyśledzonym niebezpieczeństwem.

?Do tej pory żadna grupa hakerów nie przyznała się do stworzenia któregokolwiek z robaków?, ujawnia Ralph Langer, niemiecki analityk przemysłowych systemów sterowania, który w dużej mierze przyczynił się do wykazania powiązań Stuxnetu z atakiem na Iran. ?Fakt ten mógłby wskazywać na działania tajnej jednostki rządowej. Istnieje również możliwość, iż zupełnie inna organizacja z całkowicie odmiennymi planami korzysta z owej platformy dzięki stronie trzeciej, która najpierw stworzyła robaka i teraz sprzedaje go tym, którzy są w stanie zapłacić za niego najwięcej?.

Ta najemnicza teoria jest możliwa z uwagi na lukratywny charakter handlu malwarem. Wady systemów zinfiltrowanych przez Stuxnet i Duqu przyjęło się nazywać Zero Day Exploits (ZDE). Są one niezwykle trudne do zidentyfikowania, a ich cena na czarnym rynku może wynieść nawet 50000 złotych. Niemniej jednak Langer jest zdania, iż jest to coś więcej niż tylko próba wzbogacenia się na informacjach. Według niego w całej operacji musi uczestniczyć jakieś państwo.

?Tak zaawansowana struktura wymaga ogromnej liczby godzin pracy, ludzi i środków finansowych. Niemal niemożliwy jest scenariusz, w którym dokonuje tego jeden człowiek lub nawet cały kolektyw hakerów?, twierdzi Langer. ?Musi to być jakiś kraj lub kilka działających w porozumieniu rządów. Tylko taka siła byłaby w stanie stworzyć robaka o podobnej strukturze?.

W eterze krążą spekulacje o zaangażowaniu w operację rządów Izraela i Stanów Zjednoczonych. W szczególności izraelskiej jednostki MIU 8200, która słynie ze swoich technologicznych zdolności. Od samego początku Izrael odmawia komentarza w sprawie ich domniemanego powiązania z wirusem Stuxnet, jednak to właśnie oficerowie Izraelskich Sił Zbrojnych potwierdzili włamanie do ośrodka w Natanz na długo przed jakimikolwiek innymi służbami. Należy mimo to pamiętać, że istnieje wiele krajów zdolnych zorganizować podobne ataki.

Chiny oskarżano jakiś czas temu o zinfiltrowanie kont mailowych Google należących do aktywistów zajmującymi się prawami człowieka. Niemieccy analitycy doszli wtedy do wniosku, iż Chiny dysponują ?niezwykle zaawansowanymi? narzędziami do szpiegowania i wykradania poufnych informacji.

Podobnie rząd Południowej Korei padł ofiarą ataków, które jak twierdzą władze, został przeprowadzony przez Północną Koreę i miał na celu wykradzenie ściśle tajnych planów obronnych, przygotowanych w porozumieniu z USA na wypadek ataku zbrojnego w tym regionie.

Duqu: sześć niepodważalnych faktów

1/

Duqu jest przesyłany mailowo. Jeśli zostanie wpuszczony do systemu, zainfekuje całą sieć.

2/

Do tej pory na cel brane były elektrownie, obiekty o charakterze nuklearnym i inne kluczowe instalacje.

3/

Duqu ukrywa się w komputerach, podglądając nasze hasła, plany i inne newralgiczne dane.

4/

Szyfruje wykradane dane i przesyła je niepostrzeżenie do nieznanego operatora.

5/

Po 36 dniach Duqu automatycznie wymazuje wszelkie ślady swojej obecności w sieci.

6/

Autorzy Duqu pozostają anonimowi, jednak stworzenie tego wirusa wymagało ogromnych nakładów finansowych.

Jeden z największych wykrytych do tej pory cyber ataków miał miejsce w Estonii. Padło wtedy ponad milion serwerów, których brak odpowiedzi skutecznie zakłócił pracę rządu, mediów i sektora biznesowego tamtego regionu. Analiza tego incydentu wykazała, iż atak został przeprowadzony z rosyjskiego serwera i towarzyszył pogorszeniu się stosunków pomiędzy tymi dwoma krajami.

?Stuxnet może i otworzył puszkę Pandory, ale to właśnie Duqu nakręcił coś, co może w niedługim czasie stać się międzyrządowym wyścigiem cyber zbrojeń?, ostrzega Langer. Mając to na uwadze, rząd Stanów Zjednoczonych zdaje sobie sprawę, że znajduje się w ścisłej czołówce krajów zagrożonych atakiem. Miedzy innymi dlatego uruchomiono tam już system Einstein II, którego zdaniem jest wykrywać i przeciwstawiać się czemuś, co Biuro Bezpieczeństwa Narodowego nazywa ?elektronicznym Pearl Harbor?.

Einstein II stoi na straży federalnych systemów komputerowych, odpierając dziennie miliony ataków. Sam Pentagon boryka się z sześcioma milionami ataków dziennie. Wśród scenariuszy, jakie przewidziano, znajdują się: wyciek trującego gazu w fabryce chemicznej, eksplozja rafinerii, awaria wojskowej sieci komputerowej i elektrowni.

?Właśnie dlatego Duqu jest nie tyle bezpośrednim zagrożeniem, co zwiastunem  cybernetycznego dnia sądu?, twierdzi Liam O?Murchu z Symantec Security Response. ?Ktokolwiek z niego korzysta, daje nam jasno do zrozumienia, że gdyby chciał, mógłby odciąć nas od zasilania, wyłączyć ogrzewanie w naszych domach, spowodować wybuch nuklearny i zamknięcie giełdy papierów wartościowych. Nie trudno również wyobrazić sobie, jakie następstwa miałaby awaria systemu kontroli lotów??

W praktyce jednak dużo bardziej prawdopodobna jest długotrwała seria sabotaży i pojedynczych cyber wypraw do rządowych systemów bezpieczeństwa. Szacuje się, że Stuxnet zainfekował ponad 100000 komputerów opartych na systemie Windows na całym świecie, zanim trafił w swój irański cel. Co gorsza, zniszczenia, których dokonał, mogły być dużo bardziej dotkliwe, gdyby jego miejsce zajął Duqu uzbrojony w cyfrową ?głowicę nuklearną?.

W obliczu tak wysokiego poziomu zagrożenia cyber atakami nie dziwi fakt, iż również inne kraje zaczynają się zabezpieczać przed potencjalnym agresorem. Japonia pracuje nad specjalnym wirusem, który miałby być swego rodzaju kontrofensywą mającą na celu zniszczyć wrogi malware i jego serwer źródłowy. W prace nad nim zaangażowana jest firma Fujitsu. Problem z tym rozwiązaniem jest jednak taki, że po drodze do owego serwera wirus ten niszczy wszystkie Bogu ducha winne komputery, na których znajdował się paskudny malware.

Podobnie do sprawy podeszły Niemcy, inicjując swój własny program cyber militarny. Nie gorsza jest również Wielka Brytania ze swoim centrum szybkiego reagowania na cyber ataki podłączonym do GCHQ w Cheltenham przy wsparciu służb MI5 i MI6. Ponadto McAfee, amerykańska firma zajmująca się rozwojem oprogramowania antywirusowego, wpadła niedawno na trop krajów takich jak Chiny, Rosja, Francja czy Izrael, które również stawiają swoje ?mury obronne?.

?Na świecie jest spora liczba krajów, które posiadają niezwykle zaawansowane programy na wypadek cyber wojny?, ujawnia James Mulvenon, jeden z założycieli Cyber Conflict Studies Association. ?Istnieje ponadto 100 państw, które mają już bardzo konkretne plany działania na wypadek cyber ataku. Przyszło nam żyć w czasach nowej zimnej wojny, która nabrała wymiaru wirtualnego, a co za tym idzie również globalnego?.

W obecnej chwili niemal każdy kraj, komórka terrorystyczna czy grupa paramilitarna będąca w posiadaniu odpowiednich funduszy i wiedzy mogłaby przypuścić atak na jakikolwiek cel na świecie.

Im bardziej skomputeryzowany kraj, tym większe ryzyko ataku. Działa to tym samym na niekorzyść potencjalnie silniejszego państwa. Zakładając, iż Północna Korea przeprowadziłaby cyber atak na USA, straty po stronie tego pierwszego w chwili odwetu byłby znacznie mniejsze.

?Duqu jest symbolem zmian w cyberprzestrzeni. Nadeszły czasy, kiedy zaawansowany atak może zostać dosłownie zlecony na czarnym rynku?, twierdzi Langner. ?Dzisiaj każdy może wejść w posiadanie swojej własnej cyber broni. Twórcy Duqu wkraczają w coraz to bardziej newralgiczne z punktu widzenia funkcjonowania kraju sektory i bardzo wyraźnie pokazują, że to od nich zależy nasz los.?

To, czy Duqu przyczyni się do jakiejś wielkiej katastrofy, pozostaje na razie niewiadomą. Dla pewności monitorujcie jednak swoją pocztę i otwierajcie tylko te pliki Word, którym możecie ufać.

Najniebezpieczniejsze wirusy

Duqu (2011)

Robak stworzony do wykradania danych. W obecnej chwili niemal niemożliwy do wykrycia.

Straty: Do tej pory nieznane

Stuxnet (2010)

Pierwsza cyber broń wykorzystana na ?polu walki?. Dokonała sabotażu irańskiego programu nuklearnego.

Straty: Potencjalnie miliardy dolarów

SQL Slammer (2003)

Zaatakował serwery sieciowe z niespotykaną prędkością. Po 15 minutach od inicjacji zainfekował ponad połowę najbardziej newralgicznych serwerów w Internecie.

Straty: Około miliarda dolarów

Code Red II (2001)

Powstał na Filipinach. Robak ten nakładał na strony internetowe napis: ?Hacked by Chinese!?.

Straty: 1,1 miliarda dolarów

I love you (2000)

Wirus wykradający hasła. Zrodzony, podobnie jak poprzednik, na Filipinach i dystrybuowany za pomocą maila.

Straty: 5,5 miliarda dolarów w jeden dzień

 

Na celowniku: najbardziej oblegane systemy

Pentagon (USA)

6 milionów ataków dziennie

Ministerstwo Obrony Narodowej (Chiny)

5 milionów ataków dziennie

Ministerstwo Obrony Narodowej (Korea Południowa)

1,5 miliona ataków dziennie

Rada Obrony narodowej (Iran)

1,2 miliona ataków dziennie

Ministerstwo Obrony Narodowej (Indie)

1 milion ataków dziennie

Biuro Obrony Narodowej (Pakistan)

950000 ataków dziennie

Siedziba NATO (Belgia)

400000 ataków dziennie

Centrala Łączności Rządowej (Wielka Brytania)

30 ataków dziennie

Europejska Agencja do spraw Bezpieczeństwa Sieci i Informacji

20 ataków dziennie

Autor:

Dobry duch i woda na młyn naszej redakcji. Pilnuje terminów, buduje treści i tworzy layout magazynu. Czasami też znajduje czas na filiżankę kawy, bez której nie wyobraża sobie życia.

Kliknij, by skomentować

Zostaw komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Popularne

Atak WannaCry najbardziej odczuli posiadacze pirackiego Windowsa

Newsy

Połącz
Newsletter

Zapisz się do naszego newslettera i bądź na bieżąco!