Индийские правоохранительные органы расследуют деятельность операторов Duqu
Агентство Reuters сообщает, что индийские правоохранительные органы ведут расследование в отношении интернет-хостеров, размещавших серверы, обслуживавшие деятельность вредоносного программного обеспечения Duqu. Многие антивирусные эксперты отмечают, что червь Duqu и ему подобные образцы, представляют собой одну из самых серьезных угроз, возникших за последние месяцы.
Компания Web Werks, серверные мощности которой расположены в индийском Мумбаи, стала одним из фигурантов расследования, проводимого индийским высокотехнологичным подразделением CERT-India (Computer Emergency Response Team). Ранее антивирусная компания Symantec указала, что ряд командных серверов Duqu расположены в датацентре Web Werks.
В самой компании-хостере говорят, что заинтересовавший следователей объект – это частный виртуальный сервер, арендованный одним из клиентов, проживающим в Милане (Италия). “Это был автономный сервер. Мы просто создали его и предоставили доступ конкретному клиенту, который отвечал за него”, – говорит Нихил Ратхи, основатель Web Werks. “Когда вы создаете подобный сервер, то он передается клиенту в стандартном виде, а далее уже сам клиент меняет пароль, настраивает программное обеспечение и начинает использовать оборудование по своему усмотрению”.
Напомним, что первые данные о Duqu возникли 18 октября, после того, как ряд антивирусных лабораторий заявили, что Duqu представляет собой второй после Stuxnet вредоносный код, направленный на атаку промышленных объектов.
Сейчас в CERT-In говорят, что данные, имеющиеся у частной компании Web Werks могут помочь следствию, как могут напрямую указать на операторов Duqu. В то же время, специалисты говорят, что некий итальянский клиент Web Wekrs – это, скорее всего, подставное лицо или вообще несуществующая компания или человек. Также в CERT-In говорят, что поддерживают контакт с американскими коллегами и рядом антивирусных компаний, обмениваясь оперативным данными, связанными с Duqu.
Как и нашумевший Stuxnet, троянец Duqu предназначен для атаки на промышленные объекты, точнее на компьютерные системы, управляющие этими объектами. Однако в отличие от Stuxnet, который пытался воздействовать на промышленное оборудование (SCADA-системы), Duqu работает более тонко – он попадает в промышленные системы и похищает разнообразные данные из них.
В компании McAfee говорят, что среди прочих целей Duqu можно выделить и цели по атаке удостоверяющих центров цифровых сертификатов, позволяющих защищать программное обеспечение и интернет-сервисы. В Symantec говорят о нескольких компаниях в Европе, которые уже стали жертвами Duqu. Информация о конкретных жертвах пока засекречена.
Обе антивирусных компании сходятся во мнении, что за Duqu стоят не обычные хакеры с целью финансовой наживы, а крупные хакерские формирования, заинтересованные в промышленном шпионаже, получении коммерческих и государственных секретов и прочих “больших” данных. В Symantec говорят, что пока Duqu распространяется в Европе, эти же данные подтверждает и McAfee, заявляющая, что ареал хождения Duqu – это регион EMEA и ограниченно Азия.
Как Symantec, так и McAfee сходятся во мнении, что Duqu создавался для “профессиональных и целевых атак”, возможно даже под каких-то конкретных получателей. В McAfee говорят, что уже связались с представителями компаний, занимающихся выпиской цифровых сертификатов и уже посоветовали им самым тщательным образом проверить свою ИТ-инфраструктуру в свете угроз Duqu.