В Индии арестовано оборудование, используемое для управления червем Duqu
Власти Индии накануне сообщили об изъятии серверного оборудования у одного из местных провайдеров, после сообщения компании Symantec об обнаружении командного сервера, используемого для управления деятельностью сетевого червя Duqu. Название провайдера не сообщается, известно лишь, что его датацентр расположен в индийском Мумбаи.
Согласно сообщению индийского Департамента информационных технологий, полицейские изъяли жесткие диски и прочее серверное оборудование из датацентра провайдера, который использовался для управления червем Duqu. Дополнительные подробности о задержании не сообщаются.
Как и нашумевший Stuxnet, троянец Duqu предназначен для атаки на промышленные объекты, точнее на компьютерные системы, управляющие этими объектами. Однако в отличие от Stuxnet, который пытался воздействовать на промышленное оборудование (SCADA-системы), Duqu работает более тонко – он попадает в промышленные системы и похищает разнообразные данные из них.
В компании McAfee говорят, что среди прочих целей Duqu можно выделить и цели по атаке удостоверяющих центров цифровых сертификатов, позволяющих защищать программное обеспечение и интернет-сервисы. В Symantec говорят о нескольких компаниях в Европе, которые уже стали жертвами Duqu. Информация о конкретных жертвах пока засекречена.
Обе антивирусных компании сходятся во мнении, что за Duqu стоят не обычные хакеры с целью финансовой наживы, а крупные хакерские формирования, заинтересованные в промышленном шпионаже, получении коммерческих и государственных секретов и прочих “больших” данных. В Symantec говорят, что пока Duqu распространяется в Европе, эти же данные подтверждает и McAfee, заявляющая, что ареал хождения Duqu – это регион EMEA и ограниченно Азия.
Как Symantec, так и McAfee сходятся во мнении, что Duqu создавался для “профессиональных и целевых атак”, возможно даже под каких-то конкретных получателей. В McAfee говорят, что уже связались с представителями компаний, занимающихся выпиской цифровых сертификатов и уже посоветовали им самым тщательным образом проверить свою ИТ-инфраструктуру в свете угроз Duqu.
Для своего распространения в большинстве случаев Duqu также применяет цифровой сертификат. Конечно, сертификат краденный. Он был выписан на тайваньскую компанию C-Media Electronics издателем сертификата является Verisign. В последней, кстати, заявили, что с 14 октября цифровой сертификат C-Media аннулирован.
В Symantec говорят, что на данный момент у них нет данных о взломах компаний, занимающихся цифровыми сертификатами. Также компания предупреждает, что администраторам компьютерных сетей на стратегически важных предприятиях в ближайшие недели следует проявлять повышенную бдительность, так как Duqu для проникновения может применять самые разные методы.