Индийские правоохранительные органы расследуют деятельность операторов Duqu

Агентство Reuters сообщает, что индийские правоохранительные органы ведут расследование в отношении интернет-хостеров, размещавших серверы, обслуживавшие деятельность вредоносного программного обеспечения Duqu.

Многие антивирусные эксперты отмечают, что червь Duqu и ему подобные образцы, представляют собой одну из самых серьезных угроз, возникших за последние месяцы.

Компания Web Werks, серверные мощности которой расположены в индийском Мумбаи, стала одним из фигурантов расследования, проводимого индийским высокотехнологичным подразделением CERT-India (Computer Emergency Response Team).

Ранее антивирусная компания Symantec указала, что ряд командных серверов Duqu расположены в датацентре Web Werks.


В самой компании-хостере говорят, что заинтересовавший следователей объект - это частный виртуальный сервер, арендованный одним из клиентов, проживающим в Милане (Италия). "Это был автономный сервер.

Мы просто создали его и предоставили доступ конкретному клиенту, который отвечал за него", - говорит Нихил Ратхи, основатель Web Werks.

"Когда вы создаете подобный сервер, то он передается клиенту в стандартном виде, а далее уже сам клиент меняет пароль, настраивает программное обеспечение и начинает использовать оборудование по своему усмотрению".

Напомним, что первые данные о Duqu возникли 18 октября, после того, как ряд антивирусных лабораторий заявили, что Duqu представляет собой второй после Stuxnet вредоносный код, направленный на атаку промышленных объектов.

Сейчас в CERT-In говорят, что данные, имеющиеся у частной компании Web Werks могут помочь следствию, как могут напрямую указать на операторов Duqu. В то же время, специалисты говорят, что некий итальянский клиент Web Wekrs - это, скорее всего, подставное лицо или вообще несуществующая компания или человек.

Также в CERT-In говорят, что поддерживают контакт с американскими коллегами и рядом антивирусных компаний, обмениваясь оперативным данными, связанными с Duqu.

Как и нашумевший Stuxnet, троянец Duqu предназначен для атаки на промышленные объекты, точнее на компьютерные системы, управляющие этими объектами. Однако в отличие от Stuxnet, который пытался воздействовать на промышленное оборудование (SCADA-системы), Duqu работает более тонко - он попадает в промышленные системы и похищает разнообразные данные из них.

В компании McAfee говорят, что среди прочих целей Duqu можно выделить и цели по атаке удостоверяющих центров цифровых сертификатов, позволяющих защищать программное обеспечение и интернет-сервисы.

В Symantec говорят о нескольких компаниях в Европе, которые уже стали жертвами Duqu. Информация о конкретных жертвах пока засекречена.

Обе антивирусных компании сходятся во мнении, что за Duqu стоят не обычные хакеры с целью финансовой наживы, а крупные хакерские формирования, заинтересованные в промышленном шпионаже, получении коммерческих и государственных секретов и прочих "больших" данных.

В Symantec говорят, что пока Duqu распространяется в Европе, эти же данные подтверждает и McAfee, заявляющая, что ареал хождения Duqu - это регион EMEA и ограниченно Азия.

Как Symantec, так и McAfee сходятся во мнении, что Duqu создавался для "профессиональных и целевых атак", возможно даже под каких-то конкретных получателей.

В McAfee говорят, что уже связались с представителями компаний, занимающихся выпиской цифровых сертификатов и уже посоветовали им самым тщательным образом проверить свою ИТ-инфраструктуру в свете угроз Duqu.
 
 
 

---