研究者らは、「Duqu」と名付けられた新たなマルウェア脅威を特定しました。この新たな脅威は、イランの原子力発電所への標的型攻撃に使用されたStuxnetワームを開発したのと同じ作者によって開発されたようですが、Duquは全く異なる標的を狙っています。
ヨーロッパの独立系研究者は、マカフィーとシマンテックの研究者とマルウェアコードを共有しており、DuquはStuxnetと同じソースコードに基づいて構築されているという点で全員が一致しています。シマンテックのブログ投稿では、「Duquは本質的に、将来のStuxnetに似た攻撃の前兆となるものです。この脅威は、Stuxnetのソースコードにアクセスできる同じ作成者によって作成されており、最後にStuxnetファイルが回収されて以降に作成されたものと思われます」と説明されています。
コアコードは同一かもしれませんが、McAfee Labsのブログ記事によると、Duquは以前のバージョンのようなPLCを侵害する機能は備えていません。しかし、Duquは感染マシンにオリジナルのStuxnetと同様にドライバーと暗号化されたDLLをインストールします。また、McAfeeは、インジェクション攻撃に使用されたコード、およびDuquが使用するいくつかの暗号化キーと手法はすべてStuxnetで使用されていたものと類似していると主張しています。
研究者たちは、捕捉されたコードを解析した結果、Duqu は特に証明機関を標的として設計されていると考えています。証明機関とは、サーバーの信頼性を検証し、インターネット上で接続するシステムがその証明書の真正性を保証するために使用される、信頼できるデジタル証明書の発行元です。不正な証明書を保有する攻撃者は、正規のサーバーを装いながら、被害者を不正なサーバーへ誘導したり、リダイレクトしたりする可能性があります。
ウェブが依拠する信頼は、今年すでに何度か揺るがされています。最初はRSA Securityへの侵入とSecurID二要素認証トークンで使用される暗号鍵の漏洩、そして最近では認証局DigiNotarへのハッキングです。
DuquのペイロードはStuxnetとは大きく異なります。Stuxnetは産業用制御システムを妨害するために設計されましたが、Duquはリモートコマンドアンドコントロール機能と高度なキーロガーツールを備えています。Duquは侵入して機密情報を収集することを目的としているようで、おそらく将来的に別の種類の攻撃に利用される可能性があります。
McAfee、Symantecをはじめとする企業は、この脅威を認識しており、Duquを検出・ブロックするためのシグネチャを開発しています。しかし、新しいシグネチャが作成される前に、亜種がすり抜けてしまう可能性もあるため、特に認証局は、悪意のある活動や疑わしい活動に対して厳重な警戒を払う必要があります。
