Duqu

Duqu on tietokonemato, joka löydettiin 1.9.2011. Madon uskotaan olevan läheistä sukua Stuxnetille.[1] Mato on saastuttanut järjestelmiä useissa maissa, mutta on löytynyt erityisesti Iranista.

Budapestin Yliopiston alainen The Laboratory of Cryptography and System Security (CrySyS) Unkarissa, joka alkujaan haittaohjelman löysi, kirjoitti ja julkaisi Duquksi nimeämästä uhasta 60-sivuisen raportin. Symantec julkaisi myöhemmin saman raportin päivitetyn version.

Keskeisiä ominaisuuksia Duqulle ovat muun muassa ohjelmallinen näppäilyn tallentaja, joka tallentaa myös kaiken näytön sisällön, sekä etäkäyttöohjelma, jonka tutkijat uskovat antavan mahdollisuuden koneen täydelliseen hallintaan. Duqun varsinaiseksi tarkoitukseksi on kuitenkin uskottu olevan tunkeutuminen suojattuihin järjestelmiin käyttäen saman verkon kevyemmin suojattuja koneita alustana ja varastaa näistä näiden suojauksesta vastaavia sertifikaatteja.[2]

Yhtymäkohdat Stuxnetin kanssa

[muokkaa | muokkaa wikitekstiä]

Symantec lausui omassa CrySyS raporttiin perustuvassa tutkimuksessa, että Duqu on rakenteeltaan lähes identtinen Stuxnetin kanssa, mutta haittaohjelman käyttötarkoitus on täysin eri. Symantec uskoo, että Duqun loi joko sama taho kuin Stuxnetin tai käytössä oli ainakin Stuxnetin lähdekoodi.[3] F-Securen Mikko Hyppönen taas totesi, että Duqun kerneli on niin identtinen Stuxnetin kanssa, että heidän oma analyysijärjestelmä erehtyi luulemaan Duqua Stuxnetiksi.[4]

Duqun hiljaisen asentumisen mahdollistaa aito, taiwanilaiselta C-Media -yritykseltä varastettu laitesertifikaatti. Sertifikaatti on sittemmin peruttu.[5]

Yksi lähde, Dell SecureWorks, ei kuitenkaan usko Duqun olevan kytköksissä Stuxnetiin.[6]

Haittaohjelma tunkeutuu järjestelmiin nk. nollapäivähaavoittuvuuden kautta, tässä tapauksessa TrueType-kirjasinjärjestelmän kautta. Myös Stuxnet käytti aiemmin tuntematonta heikkoutta hyväkseen; levitysalustana on toiminut Microsoft Word -asiakirja.