Er wordt nog onderzocht wie er achter de aanval Duqu zit en waarom. Verschillende security-leveranciers laten hier zo hun eigen ideeën op los. Is het een voorbode voor een grotere aanval? Symantec denkt van wel. Ook drie Computable-experts verwachten dat de kous niet af is met Duqu, ook al is het niet hetgeen waar we bang voor moeten zijn. Het zijn de aanvallen die volgen na Duqu.
Marc Jepkes, sales manager bij Fortinet: 'Duqu krijgt veel aandacht van media- en securitybedrijven omdat het gelinkt wordt aan Stuxnet. In essentie is het gewoon een zeer intelligent Trojaans paard, dat tegenwoordig vaker wordt gebruikt bij internetaantallen. Toch is het niet vreemd dat Duqu aan Stuxnet doet denken.'
Duqu gebruikt een 'valid certificate', dat waarschijnlijk gestolen is van het bedrijf C-media. Stuxnet deed hetzelfde, maar dan met Realtek. 'Bovendein is ook de code nog hetzelfde, waardoor je tot de conclusie moet komen dat Duqu of van dezelfde makers is als Stuxnet, of dat de maker van Duqu toegang heeft gekregen tot de broncode van Stuxnet. En dan is het weer de vraag of de Stuxnet-makers zo vrij zijn geweest deze code te delen, of dat deze simpelweg gestolen is.'
Verzamelen van data
Duqu is geen standaard virus om ict-omgevingen te vernietigen, maar richt zich op het verzamelen van data. 'De schadelijkheid ervan kan pas bewezen worden, wanneer bekend is wat de Duqu-makers met de gestolen data doen. Ze kunnen er een nog destructievere worm van maken, of de info aan concurrenten van het bestolen bedrijf verkopen.'
Nienke Ryan, productmanager van SpicyLemon Security Experts, vindt het jammer dat er nog weinig antwoorden zijn sinds de ontdekking van Duqu. 'Er is geen publieke informatie over de 'dropper' (de eerste release) bekend of wanneer en hoe deze is geïnstalleerd op geïnfecteerde machines. Dat is jammer, want het is van groot belang voor forensische analyse.'
Grotere aanval
Ryan: 'De datum van installatie van de malware, kan worden gevonden in het configuratiebestand. Juist omdat Duqu zichzelf na enige tijd verwijderd, moeten er wel data in de configuratiebestanden te vinden zijn. Het lijkt me niet lastig om dat te vinden.'
'Het enige wat ik van Duqu kan zeggen is dat het als doel moet hebben om ongezien ergens binnen te dringen en weer te verdwijnen', zegt Ryan. 'Waarom is vaag, wie het heeft verspreid is onduidelijk en ook voor wie hij bedoeld is, blijft onbekend. Ik denk dat het is om schade te berokkenen of informatie te stelen. Ik denk echter niet dat Duqu specifiek een voorbode is voor een grotere aanval, maar je ziet wel de verschuiving van malware die werd gemaakt door scriptkiddies naar echte criminelen met financiële en politieke doelen.'
Trojaans paard
Ryan: 'Sterker nog, er staat waarschijnlijk een team betaalde ontwikkelaars achter software zoals Duqu, die alle manieren proberen om het 'hogere' doel van hun werkgever te kunnen blijven uitvoeren. Duqu is in principe helemaal niet zo eng, maar de malware die nog onbekend is en gebruik maakt van onbekende, zwakke plekken wel.'
Alex de Joode, securityofficer van Leaseweb denkt dat Duqu een vervolg is op Stuxnet. 'Of de makers gelijk zijn, valt nog te bezien. Het is een volgende escalatie in de industriële Trojaanse paarden en mogelijk is wederom Iran het doelwit. Bij Stuxnet waren er waarschijnlijk drie partijen betrokken: de Trojaanse paardenleverancier, de payload leverancier en een integrator. Zo kun je eenvoudiger zien of Duqu een zelfde structuur heeft als Stuxnet. Zo ja, dan zou het door dezelfde mensen gemaakt kunnen zijn. In ieder geval verwacht ik dat de formule van Duqu het begin van nog veel meer narigheid is.'
“Juist omdat Duqu zichzelf na enige tijd verwijderd, moeten er wel data in de configuratiebestanden te vinden zijn.”
Nee, dat hoeft helemaal niet. Malware kan bijv. periodiek een bericht sturen (incl. ID-nummer gegenereerd bijv. a.d.h.v. mac-adres of wat dan ook) naar een server dat ie actief is. Die server kan dan als antwoord geven dat de malware zichzelf moet uitschakelen of niet: de server stuurt simpelweg een commando. ALLE data bevinden zich dan louter op die server. Die server houdt dan bij per ID hoe lang de malware actief is. Dat hoeft dan ook niet een vaste termijn te zijn.
De namen van de servers waar ie verbinding mee maakt kunnen bestaan uit letters die m.b.v. een ge-encrypt algoritme steeds veranderen. Dat is mogelijk omdat webadressen tijdelijk kunnen worden geregistreerd zelfs zonder dat het geld kost. We moeten dan ook af van dat systeem: dat moet simpelweg niet meer mogen/kunnen.