ویروس Duqu تمام مدارک جرم را از بین برد

نویسندگان ویروس و نفوذگران به شبکه های کامپیوتری همواره گزارش ها و نتایج کارشناسان شرکت های امنیتی را دنبال می‏کنند تا بتوانند یک قدم جلوتر از آنها باشند. نویسندگان و گردانندگان ویروس Duqu نیز از این قاعده مستثنی نبوده اند. به فاصله کوتاهی پس از انتشار اولین اخبار درباره کشف این ویروس و عملکرد آن، تمام مراکز کنترل و فرماندهی ویروس Duqu که بعضی از آنها به مدت طولانی فعال بودند، از بین رفته و تمام اطلاعات سرور این مراکز پاک و نابود شدند.

تمام مراکز کنترل و فرماندهی ویروس Duqu بر روی سرورهایی ایجاد شده بودند که مورد نفوذ قرار گرفته و تمام این سرورها نیز از نوع Linux و داری نسخه CentOS بودند. سرورهای مورد استفاده ویروس Duqu محدود به یک کشور خاص نبوده و مراکز فرماندهی این ویروس در کشورهای هند، آلمان، هلند، سوئیس و ویتنام شناسایی شده اند.

نحوه حمله و نفوذ به سرورهایی که به عنوان مرکز فرماندهی ویروس Duqu انتخاب شده بودند، به دو روش صورت گرفته است. اغلب از روش حمله Brute-Force Password استفاده شده تا دسترسی به سرور فراهم شود. در این نوع حمله، انواع رمزهای عبور با ترکیب های مختلف امتحان می شود تا بالاخره نتیجه حاصل شود. در موارد محدودی نیز از یک نقطه ضعف تقریباً ناشناخته در نسخه 4.3 نرم افزار OpenSSH استفاده شده است. جالب است در مواردی که از این نقطه ضعف برای نفوذ به سرور استفاده شده، بلافاصله پس از ایجاد دسترسی به سرور، اولین اقدام نفوذگران، ارتقاء نسخه OpenSSH از 4.3 به 5.8 بوده است. نقطه ضعف در ابزار OpenSSH از این لحاظ تقریباً ناشناخته است که در سال 2009 میلادی بحث هایی درباره این مورد در برخی تالارهای گفتگو مطرح شد که هیچگاه به سرانجام نرسید و عملی نشد.

گردانندگان ویروس Duqu دو روز بعد از انتشار عمومی اولین گزارش شرکت Symantec درباره این ویروس، تک تک سرورهای کنترل و فرماندهی را پاک و نابود کردند. سرعت عمل آنان نیز به حدی بود که هیچگاه امکان شناسایی به موقع یک مرکز و تهیه اطلاعات و تصویر (image) از آن سرور برای کارشناسان امنیتی فراهم نشد.

با تمام سعی و تلاش کارشناسان و شرکت های امنیتی و همچنین مقامات امنیتی در کشورهای مختلف، تاکنون سرور و مرکز فرماندهی اصلی که تمام سرورها و مراکز زیر مجموعه ویروس Duqu را مدیریت می کرد، شناسایی نشده است.