Lyukat üt a megfertőzött számítógépen, és minden adatot összegyűjt arról egy új, kifejezetten ipari kémkedésre tervezett kártevő. Az elsőként egy magyar kutató által észlelt Duqu nevű kártevő valószínűleg a Stuxnet nevű, tavaly megjelent kártevő utódja, amelyet az iráni atomprogram akadályozása érdekében készítettek ismeretlenek.

A biztonsági kutatók által Stuxnetnek keresztelt, tavaly megjelent kártevő alapjában változtatta meg a biztonságról, a kártevőkről és a kiberhadviselésről alkotott elképzeléseket. Ennek ugyanis egyetlen célja volt: az, hogy megfertőzzön a Siemens által gyártott, nagy ipari létesítményekben, így például atomerőművekben használatos vezérlőrendszereket. Kódjának vizsgálata során kiderült, hogy a Stuxnet nem akart minden üzemben problémákat okozni, kifejezetten egy létesítmény, az iráni urándúsítók vezérlőrendszerének megbénítására tervezték.  Ismeretlen készítői sikerrel jártak: a megfertőzött vezérlőrendszer szándékosan rossz  hatásfokkal működtette az urándúsító centrifugákat - akadályozva az iráni atomprogram zökkenőmentes végrehajtását. A centrifugák motorjai egyébként tönkre is mentek volna, ha a kártevőt fel nem fedezik.

Újból lecsapnak az iráni atomprogram hackerei

Az elmúlt hetekben egy újabb, a Stuxnethez gyanúsan hasonlító kártevőt találtak a biztonsági szoftvereket fejlesztő Symantec kiberbiztonsági kutatói. Ez Európában bukkant fel először, a kártevő fájljainak azonosítását lehetővé tevő paramétereket pedig egy Boldi álnevet használó magyar, it-biztonsággal foglalkozó blogger publikálta először, aki később törölte is bejegyzését, bár a Google gyorsítótárában az még mindig elérhető.

Forrás: Northfoto
Az ipari rendszerekre utazott a Duqu elődje, a Stuxnet

A kártevő által létrehozott fájlok nevének elején szereplő ~DQ karaktersorról Duqunak elnevezet támadókódról először a Symantec jelentetett meg elemzést. Ezek alapján a kártevőt biztosan olyan programozók rakták össze, akik hozzáfértek az iráni atomlétesítmények ellen tervezett Stuxnet vírus, korábban ki nem szivárgott kódjához is. Így valószínűsíthető, hogy ugyanaz a csoport áll mindkét kártevő mögött.

Magyar céget támadhattak elsőként a Duquval

A kiberbiztonsággal foglalkozó orosz Kaspersky cég szakértője elképzelhetőnek  tartja, hogy egy magyar tanusítványkiadó céget akartak elsőként megtámadni a Duquval. Állítását azzal támasztja alá, hogy a vírus részeit képező fájlokat először hazánkból töltötték fel a Virustotal nevű oldalra, ahol gyanús fájlok online ellenőrzését lehet elvégezni. A szakértő legalább egy olyan magyar cégről tud, amely áldozatul esett a Duqunak, ám elemzésében nem tér ki arra, mely cégről van szó.
Egy nagyszabású támadáshoz gyűjthet adatokat

Az első fontos különbség a Stuxnet és a Duqu között, hogy az új kártevőt nem egy ipari rendszer tönkretételére, hanem ipari kémkedésre programozták.  A Duqu a számítógépre bejutva letölt egy billentyűleütést naplózó kódot és elkezdi összegyűjteni a gépen található információkat, ráadásul 36 nap elteltével törli saját magát, hogy ne hagyjon nyomot maga után. A Duqu alkotói nem ülnek a babérjaikon: már a negyedik, hamis aláírással rendelkező, magát szabályos meghajtóprogramnak álcázó verzió kering a kártevőből. A legutolsó variáns ráadásul még egy napos sem múlt el. Ahogy a régi Duqu fájlokat megtanulják a vírusirtók, úgy tűnnek fel az újak, amik egy pár napig el tudnak még rejtőzni a kiberbiztonsági programok elől.

Forrás: AFP
Az otthoni felhasználókat nem veszélyezteti a Duqu

A begyűjtött adatokat egy gyengén titkosított fájlban tárolja, majd megpróbálja azt egyetlen csomagban kijuttatni azt a számítógépről, és a vizsgálatok szerint olyan rést is nyit a fertőzött PC-n, amelyeken keresztül illetéktelenek irányíthatják azt a világhálón keresztül.  A Symantec elemzői szerint a jövőben egy újabb, fontos ipari rendszerek elleni támadáshoz fogják felhasználni a Duqu által öszegyűjtött adatokat, hálózati térképeket.

A korábbi kártevő, a Stuxnet létrehozásával több szervezetetet meggyanúsítottak a kiberbiztonsági kutatók, rábizonyítani azonban egyikre sem sikerült. Az iráni atomdúsítók lelassítása, amelyet a kártevő megcélzott, Izraelnek illetve az Egyesült Államoknak az érdeke, ám bizonyítékok hiányában nem lehet kijelenteni, hogy bármelyik államnak köze lenne a Stuxnethez. Egylőre azt sem lehet tudni, hogy a célpont ismét Irán-e vagy új ország ellen vetik be a kiberfegyvert. A tudat viszont megnyugtató, hogy az új ipari fenyegetést jóval hamarabb vették észre a kutatók, mint elődjét.

Gombás László, a Symantec internetbiztonsági szakértője az [origo]-nak elmondta, hogy a Stuxnet miatt vátozott meg a biztonsághoz való hozzáállás. A korábbi direktíva, amely szerint a "félméteres kábelszünet", azaz a kritikus rendszerek internetről való leválasztása, elég az informatikai rendszer megvédéséhez, megdőlt. A Stuxnet pedrive-okon, külső merevlemezeken jutott be azokra a számítógépekre, amelyeknek nem volt kapcsolata a világhálóval. Gombás szerint az eset másik tanulsága, hogy nagyon óvatosnak kell lenni a programok telepítésével, még azokban sem szabad bízni, amelyek digitálisan alá vannak írva, hiszen a Stuxnet telepítője is szignálva volt.