Новости

«Лаборатория Касперского» сообщила о компьютерных атаках с использованием новой модификации вредоносной программы Duqu

11.06.2015
«Лаборатория Касперского» сообщила о компьютерных атаках с использованием новой модификации вредоносной программы Duqu
10.06.2015 компания «Лаборатория Касперского» сообщила о появлении новой версии вредоносной программы — Duqu 2.0, применяемой злоумышленниками в качестве инструмента компьютерного шпионажа.

Согласно сообщению, весной 2015 года целенаправленная компьютерная атака (Advanced Persistent Threat, APT) с использованием Duqu 2.0 была проведена на внутренние сети компании «Лаборатория Касперского». Целью злоумышленников было получение информации о новых технологиях и исследованиях компании, при этом вмешательства в процессы или информационные системы зафиксировано не было.

Расследование инцидента показало, что злоумышленники эксплуатировали, предположительно, до трех уязвимостей нулевого дня в операционной системе Microsoft Windows (одна из них, CVE-2015-2360, была исправлена компанией Microsoft 9 июня 2015 года), что свидетельствует о существенных затратах на организацию данной атаки, которая, по мнению экспертов «Лаборатории Касперского», спонсировалась на государственной уровне.

Для обеспечения скрытого функционирования Duqu 2.0 хранит свои модули исключительно в памяти ядра операционной системы и пытается удалить следы своего присутствия на жестком диске. Действие модулей Duqu 2.0 направлено на заражение шлюзов и межсетевых экранов для организации перенаправления трафика из внутренних сетей на серверы атакующих. Дополнительные модули загружаются на зараженные системы под видом установочных файлов Microsoft Software Installers (MSI), используемых системными администраторами для установки программного обеспечения в удаленном режиме.

Помимо компании «Лаборатория Касперского», компьютерным атакам с использованием Duqu 2.0 в 2014-2015 годах подвергались информационные ресурсы, связанные с переговорами по иранской ядерной программе группы стран «5+1» и мероприятиями, посвященными 70-й годовщине освобождения узников Освенцима.

Информация о Duqu 2.0 была добавлена в антивирусные базы компании под названием HEUR:Trojan.Win32.Duqu2.gen.