Duqu

O Duqu pode ser a ameaça de malware mais sofisticada já desenvolvida. O Duqu é uma ameaça de malware notória que foi usada entre 2006 e 2012, que desapareceu em 2012. No entanto, parece que uma ameaça chamada Duqu 2.0 foi usada em ataques de alto perfil recentemente contra muitos alvos em todo o mundo, incluindo alguns dos mais importantes empresas de segurança de computadores. O Duqu, em sua forma atual, ganhou notoriedade por ter como alvo várias vulnerabilidades de dia zero, que incluem CVE-2015-2360, CVE-2014-4148 e CVE-2014-6324. Alguns dos ataques pretendidos pelo Duqu pareciam estar de alguma forma ligados ao altamente divulgado acordo nuclear com o Irã, bem como às organizações que operam no Oriente Médio. Não é fácil estabelecer quem é responsável pelas versões recentes do ataque do Duqu. É muito provável que seja um ator patrocinado pelo Estado, com algumas seqüências apontando para hackers chineses (embora seja possível que eles façam parte de um ataque de bandeira falsa).

O Duqu foi Atualizado Desde o Seu Primeiro Ataque

O ataque Duqu mais recente parece derivar diretamente da versão mais antiga do worm Duqu. Na sua forma original, Duqu foi usado para atingir sistemas industriais e foi exposto em 2011. Duqu e ameaças semelhantes, como o Stuxnet, foram fundamentais para sabotar o programa de desenvolvimento nuclear no Irã nessas datas. As infecções entre 2014 e 2015 pareciam ocorrer em conexão com as negociações com o Irã sobre sua pesquisa de armas nucleares. Os pesquisadores de segurança de PC ficaram alarmados quando o Duqu foi usado na tentativa de se infiltrar na rede interna de empresas de antivírus e de segurança de PCs em particular. Eles podem ter começado como ataques de phishing, embora ainda não se saiba qual seja exatamente a origem desses ataques. Um dos motivos pelos quais se acredita que a infecção inicial começou com um ataque de phishing é que um suspeito por ser a vítima inicial teve o conteúdo de seu dispositivo completamente apagado, uma tática frequentemente usada por malware para ocultar suas atividades.

Como o Ataque do Duqu Funciona em um Dispositivo Visado

O Duqu foi vinculado a uma vulnerabilidade de dia zero que é poderosa e usa uma técnica extremamente rara, que permite ao invasor entrar no modo Kernel a partir de um documento do Microsoft Word. Essa foi uma técnica observada em ataques em 2014, que pode apontar para projetos paralelos ou desenvolvimento preliminar. Depois que o acesso foi estabelecido com o computador ou a rede infectada, a exploração CVE-2014-6324 foi usada para se mover pela rede lateralmente, permitindo que usuários externos obtenham uma conta de administrador. Esses privilégios podem ser usados para infectar computadores em toda a rede visada. Essas técnicas para o movimento lateral através de uma rede foram observadas na versão 2011 das infecções pelo Duqu.

O Duqu 2.0 pode ser uma das Ameaças Mais Sofisticadas Observadas até o Momento

O Duqu é capaz de usar métodos muito sofisticados para evitar a detecção e remoção, residindo na memória e não gravando arquivos no disco do dispositivo infectado. Parece também que o Duqu tem variantes diferentes, que implementam novos recursos ao longo do ataque. O Duqu 2.0 pode estar usando um certificado inapropriado da Foxconn que permite que o Duqu mantenha sua persistência em um dispositivo e evite a detecção. Duqu também conseguiu ocultar suas comunicações com seu servidor de Comando e Controle de forma eficaz, usando técnicas sofisticadas para manipular o tráfego. O uso de certificados inapropriados associados ao Duqu e o fato de esses certificados não terem sido vinculados a outras ameaças de malware falam com a sofisticação do grupo que está realizando esse ataque, pois implica que eles conseguiram invadir os proprietários desses certificados para obtê-los para seu próprio uso. No entanto, existem algumas semelhanças entre o Duqu e a versão mais antiga dessa ameaça, incluindo seqüências em comum, arquitetura não padrão e o estilo de codificação.