Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

CERT-SE växer. Vi har flera jobbannonser ute just nu: Sök till Systemadministratör, Övningsansvarig, Teknisk projektledare eller Teknisk skribent senast 18 augusti.

Uppdaterad | Publicerad - Windows, Duqu, Sårbarhet, Symantec, Kaspersky, APT

En sammanfattning om den skadliga koden Duqu 2.0

Det ryska antivirusföretaget Kaspersky Labs har påträffat en misstänkt ny version av den avancerade skadliga koden Duqu vilken de gett namnet Duqu 2.0. Kaspersky uppger att de upptäckt den skadliga koden då den använts i en riktad attack mot deras nätverk någon gång under våren 2015.

Den första versionen av Duqu upptäcktes 2011 av ett ungerskt universitet och hade då varit aktiv i det fördolda under flera år. Båda versionerna av Duqu anses generellt vara besläktade med den skadliga koden Stuxnet men i motsats till Stuxnet är de i första hand konstruerade för att stjäla känslig information - inte för att utföra sabotage. Precis som den tidigare versionen kan Duqu 2.0 utrustas med fler än hundra insticksprogram av skilda slag. Det gör Duqu 2.0 till ett mycket flexibelt och kraftfullt verktyg för dold informationsinsamling och fjärrstyrning av infekterade datorer.

Duqu 2.0 använder sig likt Stuxnet och den föregående versionen av Duqu av tidigare okända sårbarheter i operativsystemet Windows för att infektera datorer och sprida sig vidare till nya offer. Flera av dessa sårbarheter har nu rättats av Microsoft i uppdateringar till de senaste versionerna av Windows. Det är fortfarande okänt exakt hur angripare använder Duqu 2.0 för att infektera sina offer men sannolikt så luras utvalda användare att öppna skadliga bilagor eller klicka på länkar i bluffmejl.

Duqu 2.0 använder sig av flera olika metoder för att dölja sig för sina offer. Bland annat döljer den sig genom att endast lägga sig i datorns minne. Det innebär att när en dator startas om så försvinner den skadliga koden från datorn. Den rena datorn återinfekteras emellertid snabbt av andra smittade datorer på samma nätverk. Denna teknik försvårar för antivirus att hitta den skadliga koden. För att kunna kommunicera obemärkt med omvärlden så imiterar Duqu 2.0 legitim trafik ut och in från nätverket och kan på så vis slinka förbi IT- säkerhetsprodukter som brandväggar och antivirus.Den version av Duqu 2.0 som Kaspersky Labs analyserat använder också ett stulet certifikat ifrån det kinesiska teknikföretaget Foxconn vilket bidrar till den falska bilden av ett legitimt program.

Förutom Kaspersky Labs interna system så uppger antivirusföretaget Symantec att de har hittat datorer smittade av Duqu 2.0 hos telekomföretag i Nordafrika och Europa samt hos ett elektroniktillverkningsföretag i Sydostasien. Även enstaka organisationer i USA, Storbritannien, Indien, Hong Kong och Sverige ska enligt Symantec ha drabbats. Det förekommer även uppgifter om att Duqu 2.0 ska ha använts för att spionera på internationella förhandlingar rörande Irans kärnvapenprogram.

Riktade attacker utförda av statliga aktörer är generellt mycket svåra att försvara sig mot då de i regel baseras på tidigare okända sårbarheter och buggar. Dessa aktörer är också skickliga på att ta fram nya, förslagna sätt att lura såväl säkerhetsprogramvara som säkerhetsexperter. Det går dock att reducera risken att drabbas genom att implementera och upprätthålla bra säkerhetsrutiner samt att inte klicka på okända länkar eller öppna främmande bilagor. För tekniska detaljer kring hur Duqu 2.0 kan upptäckas och oskadliggöras se länkar nedan.

Sammanfattning om Duqu 2.0 av Symantec vilka också har analyserat den skadliga koden
http://www.symantec.com/connect/blogs/duqu-20-reemergence-aggressive-cyberespionage-threat

Vanliga frågor om Duqu 2.0 – Kaspersky Labs
http://media.kaspersky.com/en/Duqu-2-0-Frequently-Asked-Questions.pdf

Originalrapporten om Duqu 2.0 av Kaspersky Labs
https://securelist.com/files/2015/06/The_Mystery_of_Duqu_2_0_a_sophisticated_cyberespionage_actor_returns.pdf

Mer om Duqu 2.0 av Kaspersky Labs
https://securelist.com/blog/research/70504/the-mystery-of-duqu-2-0-a-sophisticated-cyberespionage-actor-returns/