Computerworld News Service: Hackergruppen bag Duqu kan have udviklet på angrebskoden i over fire år, afslører ny analyse.
Den russiske leverandør af sikkerhedssoftware Kaspersky Lab offentliggør resultaterne af en ny analyse af nogle Duqu-prøver leveret af it-sikkerhedseksperter i Sudan. En af de drivere, som er blevet installeret som en del af et af de analyserede angreb, blev kompileret helt tilbage i august 2007.
"Vi kan ikke være 100 procent på den dato, men alle datoerne for andre filer ser ud til at passe med angrebene," siger analytiker Roel Schouwenberg fra Kaspersky under et interview. "Så vi hælder til, at denne dato er korrekt."
Schouwenberg tilføjer, at driveren fra august 2007 højst sandsynlig er skabt specielt til Duqu af den gruppe, der står bag angrebene, og således ikke blot er en hyldevare bygget af andre, fordi driveren ikke er blevet set i andre sammenhænge.
Blandt de filer, der bruges af Duqu, har andre analytikere fundet nogle med oprettelsesdatoer tilbage fra februar 2008, mens de første registrerede angreb ikke fandt sted før april 2011.
Prøverne fra Sudan indikerer også, at det var i april i år, at angrebene skete mod et unavngivent mål i landet, fortæller Kaspersky, som angiver to separate forsøg - et 17. april og et andet 21. april - på at plante malware på Windows-pc'er.
Det første angreb mislykkedes, fordi den e-mail, som leverede det skadelige Word-dokument, blev blokeret af et spamfilter, mens det andet angreb lykkedes.
Skræddersyede angreb
Microsoft har bekræftet, at Duqu-kampagnen udnytter en sårbarhed i Windows-driveren W32k.sys og i TrueType font parsing enginen til at opnå adgang til at installere malware på kompromitterede pc'er.
Selvom Microsoft endnu ikke har lukket sikkerhedshullet, så opfordrer selskabet sine kunder til at beskytte sig selv ved at udføre en såkaldt Microsoft Fix it-løsning.
En anden bemærkelsesværdig opdagelse, som Kaspersky har gjort, er at hvert af de 12 Duqu-angreb, som virksomheden kender til, brugte et specialtilpasset sæt filer, der hver gang er blevet kompileret, umiddelbart før malwaren er blevet sendt mod målet.
"Forskellene er ikke ret store, men de bruger altså unikke filer, der er skræddersyet til hver aktion," fremhæver Schouwenberg.
"Hvert eneste angreb har haft sin egen command-and-control-server, hvis placering er indlejret i filerne," forklarer han.
"Det peger på, at de i høj grad ved, hvad de har med at gøre," siger Schouwenberg. "De er meget professionelle og har tjek på det hele."
Oversat af Thomas Bøndergaard
