包括賽門鐵克(Symantec)、McAfee及Sophos等資安業者都針對新興的Duqu病毒發出警告,指出Duqu與全球首隻工業系統病毒並造成嚴重災情的Stuxnet有許多類似之處,可能系出同門,至少是從Stuxnet演變而來。
率先揭露該病毒的Symantec表示,他們自一研究實驗室取得了復原一歐洲電腦系統時所發現的Duqu樣本,該實驗室也提供了Duqu與Stuxnet的比較表,顯示Duqu的許多地方與Stuxnet雷同,但目的全然不同。
在2010年引起市場恐慌的Stuxnet蠕蟲主要攻擊多半被用在工廠中的西門子自動化生產與控制(SCADA)系統,並蔓延到全球上百個國家,受駭最嚴重的是伊朗。資安業者分析指出,Stuxnet鎖定了伊朗境內的五大組織,包括伊朗核電廠在內。Stuxnet除了具備竊取資料的能力外,還能掌控企業的控制系統。
而Symantec分析Duqu後表示,Duqu並沒有任何與產業控制系統有關的程式,也沒有自我複製能力,為一遠端存取木馬程式,遙測顯示Duqu為一高度目標式的攻擊,只對少數企業的特定資產有興趣,駭客利用Duqu來安裝諸如側錄鍵盤等其他資訊竊取程式,也會搜尋替未來攻擊作準備的資產。
迄今資安業已發現兩隻Duqu變種,其中一隻具有於明年8月2日到期的有效數位憑證,該憑證原本應隸屬於台灣專門提供高階音效解決方案的驊訊電子(C-Media Electronics),不過已在今年10月14日被撤銷。
資安業者揭露Duqu與Stuxnet有許多相似之處,很可能是由同一個作者所撰寫。其中,Symantec指出Duqu與Stuxnet有很多程式是一樣的,並斷言Duqu作者曾存取Stuxnet的原始碼;而McAfee則分析,Duqu與Stuxnet都會盜用他人的憑證,而且都具有可程式化的邏輯控制器(PLC)功能,並皆僅鎖定少數企業;Sophos認為無法馬上下結論說兩個病毒是同一個作者,但不論Duqu的作者是誰,他一定曾存取Stuxnet的原始碼。(編譯/陳曉莉)
熱門新聞
2024-04-17
2024-04-15
2024-04-17
2024-04-15
2024-04-15
2024-04-15
2024-04-15