Luke Jennings z bezpečnostní firmy Countercept vytvořil volně dostupný skript, který detekuje škodlivý kód Doublepulsar. Ten patří mezi nástroje, jež údajně využívala americká agentura NSA, resp. skupina známá jako Equation Group pro sledování počítačových systémů. Nyní kód velmi pravděpodobně zneužívají k útokům i další skupiny hackerů. Skript má primárně sloužit firmám k identifikaci napadených strojů ve vlastní síti.
Informace o >>backdooru<< Doublepulsar unikly prostřednictvím hackerské skupiny Shadow Brokers v polovině letošního dubna. V obecné terminologii patří škodlivý kód mezi trojské koně. Například společnost Symantec mu přiřadila všeříkající označení Backdoor.Doublepulsar. Prostřednictvím konfigurovatelného kódu lze do neaktualizovaných nebo nepodporovaných operačních systémů Windows implantovat další malware.
Doublepulsar se šíří díky exploitu Eternalblue, jenž napadá službu SMB pro sdílení souborů u desktopových i serverových operačních systémů Windows. Příslušnou zranitelnost opravila společnost Microsoft u podporovaných verzi letos v březnu. Systémy Windows XP nebo Windows Server 2003 však mezi záplatované nepatří.
Podle některých bezpečnostních specialistů patří Doublepulsar mezi nástroje, jež agentura NSA, resp. hackerská skupina známá pod označením Equation Group, využívala pro infikování a následné sledování počítačů. Tato informace ovšem stále patří do kategorie spekulací.
Skript Luka Jenningse využily některé bezpečnostní firmy pro skenování počítačů v síti internet. Jejich výsledky se velmi liší. Pozitivní detekce proběhla u 30 až 100 tisíc strojů. Firma Below0Day, která se věnuje penetračnímu testování, zveřejnila přehledy výsledků v geografickém rozdělení. Nejvíce napadených strojů připadá na Spojené státy, následují Velká Británie, Tchajwan nebo Německo. Kdy byly počítače napadeny není jasné.
Objevily se rovněž pochybnosti o přesnosti detekce, kterou skript zajišťuje. Specialisté firma Phobos Group prověřily 50 strojů, jež nástroj označil za infikované. Skript se v žádném případě nemýlil. Podle specialistů je vysoce pravděpodobné, že vznikají nové modifikace malwaru, které se budou snažit zneužívat, resp napadat dosud neaktualizované systémy.
Detekční skript lze stáhnout na serveru GitHub.
