A négy éve felfedezett kémprogram, a Duqu új változata bukkant fel a Kasperskynél. A neves vírusvédelmi cég ma jelentette be, hogy a saját rendszerük vizsgálata során fedezték fel, hogy kémszoftverrel támadták őket. A támadók a hírhedt férget, a Duqu új verzióját használták.
A Duqu a speciálisan ipari rendszerek elleni támadásra tervezett Stuxnet vírus közeli rokona, amit a magyar Crysys Lab a Symantec-kel együttműködve fedezett fel. A szoftvert arra tervezték, hogy nagyvállalatok és intézmények rendszereiből a lehető legtöbb információt szerezze meg. A Duqu ipari és politikai célú kémkedésre egyaránt használható.
A Kaspersky elmondta: 2012-ben azt hitték, sikerült végleg megszabadulni a Duqu jelentette veszélytől, de az alapos vizsgálat kiderítette, hogy ennek egy változata támadta néhány rendszerüket - ezért is nevezték el Duqu 2.0-nak. A Kaspersky elemzői szerint a támadást politikai okokból indíthatták, mert fontos eseményekhez köthetőek a fertőzések és a kód aktivitása.
A belső elemzés szerint a támadók egy nulladik napi, a Windows kernelben található hibát, valamint valószínűleg két másik, már javított, de 2014-15-ben még frissnek számító biztonsági rést használtak ki. A támadók célja az volt, hogy minél több bizalmas technikai adatot szerezzenek meg a Kaspersky gépeiről.
A Symantec is kiadott ma egy közleményt az általuk W32.Duqu.B-nek elnevezett malware-ről; az adataik megerősítik a Kaspersky elemzését. Szerintük a Duqu 2.0 másképp működik, mint az első verzió: nem ír fájlokat a lemezekre, a memóriában található, és két variánsa van. Az egyik a hátsó kapu fenntartásáért felelős, amin át további fertőzéseket is indítanak. A másik változat sokkal komplexebb, több feladat ellátására alkalmas: például információkat gyűjthet, feltérképezheti a belső hálózatot, illetve kapcsolatot tarthat az irányító szerverrel.
Mivel számtalan elemében hasonló vagy azonos részeket tartalmaz, mint a Duqu, biztosra veszik, hogy ez a régi vírus fejlesztett változata. A Symantec azt is megjegyezte: a nyilvánosságra kerülés után valószínű, hogy a vírus készítői egy időre visszavonulnak, amíg elkészül egy új változat.