ハンガリーのセキュリティ会社「CrySyS Lab」が、悪名高い「Stuxnet」との関係で今や良く知られている、「Duqu」のインストーラを発見した。同インストーラは、電子メールを介してドキュメントとして入手されたもので、ゼロデイWindowsカーネル脆弱性に対するエクスプロイトをローンチする。非常にヘビーな代物だ…

  Symantecは分析用に同インストーラを入手しており、ホワイトペーパーをアップデートしている。

  かなり多くの詳細が追加されている:

Duqu comparisons

  ホワイトペーパーを読む前にいくつかアドバイスを:Symantecのテクニカル分析は素晴らしいが、攻撃者のモチベーションに関する推測は無視すべきだ。Symantecのホワイトペーパーの最初のバージョンでは、「Duqu」はStuxnet「ワーム」と同一であると述べていたが、しかし全く異なっていた(これらは異なるペイロードを有している)。

  新たなテキストはより明快だ——しかし、元々の推測の一部が残っている。

  以下のように考えると良い:「Duqu攻撃」は「Stuxnet攻撃」で使用されたのと同じ「コンポーネント」が使用されている。しかしそれは攻撃が同じという意味ではない。実際、攻撃そのものはそれほど似ていない。そして「Stuxnetワーム」は「Duquバックドア」と同じ物ではない。

  実際、「Duqu」攻撃は、少々類いまれなほどに普通の標的型攻撃だ。つまり、標的型攻撃の手順は非常に一般的(添付ファイル付きの電子メール)だが、攻撃に使用されるツールは非常に高度なもの(添付書類にすごいエクスプロイト…)なのだ。

Q:では、「Duqu」攻撃の動機は何なのか?
A:攻撃者たち自身に聞く必要がある。本当のところは彼らにしか分からない。