Исследователи ЛК рассказали о случае заражения системы иранского предприятия в марте этого года, при котором мог использоваться червь Duqu.
По информации исследователей «Лаборатории Касперского», создатели вируса Duqu, поразившего промышленные объекты, по крайней мере, в восьми странах мира, для каждой отдельной атаки разрабатывали различные файлы, содержащие эксплоиты, а также использовали различные командные сервера.
Некоторые эксперты полагают, что первая кибер-атака с использованием червя Duqu произошла еще в первом квартале 2011 года. В то время представители ядерной промышленности Ирана заявили об обнаружении на своих системах очередного червя Stars. Иранским экспертам удалось локализовать и уничтожить угрозу, и они не предоставили производителям антивирусов никакой информации об этом инциденте.
По мнению сотрудника ЛК Александра Гостева, в случае, если бы власти Ирана предоставили антивирусным компаниям информацию о своей находке, возможно, удалось бы избежать заражения большого количества систем и истории с Duqu в целом. Отметим, что доказательства связи между обнаруженным иранскими IT-специалистами весной этого года вирусом Stars и Duqu, который считается наследником Stuxnet – отсутствуют. Более того, ряд иранских СМИ уже опроверг данную информацию и заявляет, что все подобные заявления являются домыслами на фоне отсутствия фактов.
Специалисты ЛК рассказали о случае заражения иранского предприятия в начале весны этого года. При попытке инфицирования пользователь целевой системы получил два электронных сообщения (одно из них застряло в спам-фильтре), содержащие файл с эксплоитом для известной на тот день уязвимости. Письмо отправлялось с компьютера, расположенного в Южной Корее. Считается, что хозяин системы, с которой отправлялось сообщение, не знал о деятельности злоумышленников, скомпрометировавших его систему и использовавших ее как прокси.
Кибермошенники использовали интересный способ заражения целевой системы. При открытии содержащего эксплоит файла, вредоносный код выгружался в память системы и выполнялся только после прекращения работы с компьютером. При этом содержащий эксплоит файл и почтовый клиент могли быть закрытыми.
Более подробно ознакомиться с публикацией «Лаборатории Касперского» можно здесь.
Источник: securitylab.ru.
|