شماره: IRCNE2011121330
تاريخ: 12/9/90
به گفته يك محقق امنيتي، هكرهايي كه پشت بت نت Duqu قرار دارند، فعاليت استراق سمع خود را متوقف كرده اند. به گزارش آزمايشگاههاي كسپراسكاي در مسكو، تمامي فايلهاي 12 سرور دستور و كنترل شناخته شده براي Duqu، در تاريخ 20 اكتبر 2011 پاك شده اند.
اين مساله فقط دو روز پس از انتشار عمومي تحليل شركت امنيتي سايمانتك در مورد بدافزار Duqu اتفاق افتاده است. Duqu يك بت نت مبتني بر تروجان است كه بسياري از متخصصين امنيتي اعتقاد دارند كه از كد و ويژگيهاي يكساني با استاكس نت برخوردار است.
بر خلاف استاكس نت، اين كرم براي انجام خرابكاري طراحي نشده بود، بلكه براي كشف شبكه هاي كامپيوتري ارزشمند و جمع آوري اطلاعات طراحي شده تا بعدا اطلاعات خود را در اختيار كرم ديگري قرار دهد.
به گفته يك محقق ارشد كسپراسكاي، اكنون به نظر ميرسد كه بخش شناسايي و جمع آوري اطلاعات Duqu بسته شده است، البته اين مساله لزوما بدين معنا نيست كه يك فعاليت جديد از اين بدافزار در راه است.
به گزارش كسپراسكاي، هر نسخه از Duqu از يك سرور مجزا براي مديريت سيستمهاي آلوده شده توسط آن نسخه خاص استفاده ميكند. اين سرورها در بلژيك، هند، هلند، ويتنام و ساير كشورها قرار دارند.
به گفته كسپراسكاي، اين مهاجمان هر سروري را كه از سال 2009 مورد استفاده قرار داده اند، به طور جداگانه پاكسازي كرده اند. كسپراسكاي تاكيد كرده است كه اين هكرها نه تنها تمامي فايلهاي خود را از اين سيستمها حذف كرده اند، بلكه دوباره نيز كار خود را بررسي كرده اند تا مطمئن شوند كه عمليات پاكسازي موفقيت آميز بوده است. تمامي سرورهاي دستور و كنترل كه توسط كسپراسكاي مورد بررسي قرار گرفته اند، كاملا پاكسازي شده اند.
اين مهاجمان بلافاصله نسخه OpenSSH هر سرور را به يك ويرايش جديدتر ارتقاء داده و نسخه 4.3 را با 5.8 جايگزين كرده اند.
اگرچه گزارشهايي مبني بر وجود يك آسيب پذيري اصلاح نشده در OpenSSH وجود دارد كه ممكن است هكرهاي Duqu از آن براي سوء استفاده از سرورهاي معتبر استفاده كرده باشند، اما كسپراسكاي اين نظريه را رد كرده است.
مطالب مرتبط:
ويروس Duqu بسيار حرفه اي
Duqu؛ سارق اطلاعات حساس!
- 3