Alarm over Stuxnet-mutant in het wild
Gepubliceerd: Woensdag 19 oktober 2011
Auteur: Andreas Udo de Haes
Er is een zeer geavanceerde malware aangetroffen op basis van de Stuxnet-broncode, en dus van dezelfde makers. De Trojan, genaamd Duqu, wordt gebruikt voor bedrijfsspionage.
Securitybedrijven Symantec en McAfee slaan groot alarm: op verschillende computersystemen, onder meer in Europa, is zeer geavanceerde malware aangetroffen van dezelfde makers als de beruchte Stuxnet-worm.
Zoon van Stuxnet
De nieuwe mutant, genaamd Duqu, komt voort uit de broncode van Stuxnet. Aangezien die code niet is verspreid, impliceert dit dat dezelfde makers achter deze nieuwe cyberbedreiging zitten, schrijft Symantec.
Duqu bestaat net als Stuxnet uit verschillende modules. Maar anders dan Stuxnet, die industriële aansturingsystemen zoals die gebruikt worden in kerncentrales saboteerde, heeft Duqu geen destructieve payload.
Spionage
In plaats daarvan tracht de malware zoveel mogelijk bedrijfsgevoelige informatie te verzamelen, door middel van onder meer keyloggers en specificaties van ict-systemen. Het zou zo informatie verzamelen voor een nog uit voeren cyberaanval op de core systemen van de getroffen netwerken, een soort tweede Stuxnet, denkt Symantec.
De malware vermenigvuldigt zich niet en is slechts aangetroffen bij een select aantal bedrijfssystemen. Welk soort bedrijven het doelwit is, blijft nog onduidelijk. Volgens Symantec bespioneert Duqu industriële software en hardware, kortweg SCADA, vergelijkbaar met Stuxnet.
Gevaar voor certificaatbedrijven
Maar volgens McAfee heeft Duqu het ook voorzien op de infrastructuur van certificaatautoriteiten (CA's), vergelijkbaar met de Iraanse hacker die inbrak bij DigiNotar. Een aanwijzing hiervoor is dat Duqu, net als Stuxnet, drivers heeft die zijn ondertekend met een schijnbaar geldig digitaal certificaat.
Dit certificaat is afkomstig van een Taiwanese CA, die gebruikt maakt van de Verisign root. McAfee suggereert dat deze certificaten valselijk zijn aangemaakt door hackers, zoals ook bij DigiNotar gebeurde.
Gestolen certificaten
Symantec, de eigenaar van Verisign, bezweert in een update dat de infrastructuur van Verisign absoluut niet is gecompromitteerd: het certificaat zou niet door hackers zelf valselijk zijn ondertekend maar de private key zou zijn gestolen. Verisign heeft het certificaat op 14 oktober ingetrokken.
Duqu kan in principe updates krijgen en data uitwisselen met een zogenaamde Command & Control (C&C) server. Het in de code aangetroffen IP-adres, gelokaliseerd in India, is inmiddels geblokkeerd. Na 36 dagen schakelt Duqu zich uit en wist zichzelf van de geïnfecteerde systemen.
Geheime ontdekker
Wie Duqu het eerst heeft ontdekt blijft nog een raadsel. Symantec en andere securitybedrijven hebben samples van de malware gekregen van een 'onafhankelijk onderzoeksteam met internationale connecties' dat echter niet bij naam genoemd wil worden.
