Duqu non è Stuxnet, allarme worm esagerato
Duqu non è un sinonimo di Stuxnet: ci sono alcune somiglianze fra i due, ma anche differenze sostanziali. Duqu sarebbe meno pericoloso di Stuxnet, ma nonostante questo è già stato usato per quattro attacchi mirati in Iran e Sudan.
Pubblicato il 28 ottobre 2011 da Elena Re Garbagnati
A poche settimane dalla sua scoperta, Duqu continua a tenere banco nella comunità internazionale degli esperti di sicurezza, dopo che è stato riconosciuto come responsabile di quattro attacchi perpetrati in Iran e Sudan.
Secondo gli esperti di sicurezza di alcuni dei maggiori produttori di antivirus, come Symantec e Kaspersky, questo trojan sarebbe una variante del temibile Stuxnet usato per attaccare le centrali nucleari iraniane. Karspersky ha definito Duqu un tool universale per realizzare attacchi mirati contro un numero ridotto di obiettivi, che può essere modificato a seconda del "compito" che gli viene via via assegnato.
Duqu è stato usato per quattro attacchi in Iran e Sudan
Secondo la softwarehouse russa, infatti, sarebbero state individuate modifiche apportate al programma malevolo in funzione dei sistemi che dovevano essere infettati. Nel dettaglio, in un caso il driver ha utilizzato una firma digitale falsa, in altri invece il driver non è stato rilevato.
Sarebbe quindi possibile supporre che il funzionamento di questo programma malevolo possa cambiare a seconda dell’obiettivo colpito. Il rilevamento di un numero ridotto di infezioni sarebbe la principale differenza tra Duqu e Stuxnet. Da quando è stato scoperto il primo caso di Duqu sono stati individuati altri quattro nuovi casi di infezione, di cui uno in Sudan e tre in Iran.
In ognuno dei quattro attacchi condotti tramite Duqu è stata necessaria un'unica modifica del driver. Per quanto riguarda una delle infezioni in Iran, sono stati effettuati due tentativi di attacco alla rete sfruttando la vulnerabilità MS08-067. Questa vulnerabilità è stata usata anche da Stuxnet e da Kido, un vecchio programma malevolo. Il primo dei due attacchi è avvenuto il 4 ottobre e il secondo il 16 ottobre, ed entrambi sono partiti dallo stesso indirizzo IP, che formalmente apparteneva a un Internet Provider in USA.
Il fatto che siano stati condotti due attacchi consecutivi suggerisce un attacco mirato in Iran. Inoltre, è possibile che in questa operazione siano sfruttate altre vulnerabilità del software. Alexander Gostev, Chief Security Expert di Kaspersky Lab, ha spiegato che "Nonostante i sistemi attaccati da Duqu si trovano in Iran, ad oggi non ci sono prove che siano sistemi legati ai programmi industriali o nucleari.
In questo modo non è possibile confermare che l'obiettivo di questo nuovo programma malevolo sia lo stesso di Stuxnet. Tuttavia è chiaro che ogni infezione Duqu è unica. Questa informazione permette di confermare che Duqu sarà utilizzato per attacchi mirati su obiettivi pre-determinati".
E' chiaro che gli attacchi in Iran sono l'elemento che ha creato l'analogia fra Duqu e Stuxnet, che tuttavia sembra essere assolutamente infondata. Un rapporto di Dell SecureWorks ha smentito categoricamente l'idea che il tojan Duqu possa essere legato al worm Stuxnet o che possa essere stato creato dagli stessi autori. Secondo SecureWorks, infatti, ci alcune somiglianze nel codice e nelle funzioni, ma mancano prove tangibili che li colleghino.
Secondo Secure Works non ci sono analogie fra Stuxnet e Duqu
Sia Duqu sia Stuxnet sono tasselli sofisticati di malware formati da più componenti. Entrambi usano un driver del kernel per decifrare e caricare alcuni file crittografati sul computer infetto. Secondo SecureWorks "il driver del kernel di Stuxnet e Duqu usano molte tecniche simili per la crittografia e lo stealth, come ad esempio i rootkit per nascondere file", ma questo non significa che i due sono direttamente correlati. Secondo Secure Works le rootkit sono state utilizzate anche prima di Stuxnet, quindi non sono una sua peculiarità.
Tutti concordano comunque che la differenza sostanziale è nell'obiettivo: Duqu è stato progettato per il furto di dati e per fornire accesso remoto a un sistema compromesso; Stuxnet è stato costruito appositamente per attaccare i sistemi di controllo industriale.
Inoltre, Stuxnet si diffonde anche via peer-to-peer e sfruttando le tecnologie di condivisione delle reti per propagarsi. Duqu al contrario non sembra progettato per l'auto-propagazione. Inoltre, Stuxnet ha una capacità innata di rubare informazioni, mentre Duqu sembra avere solo la funzionalità di esfiltrazione dei dati.
Il risultato, secondo Secure Works, è che la bestia nera di cui avere paura resta Stuxnet. Secondo Secure Works, infatti, "Cinque anni fa Duqu sarebbe stato davvero fenomenale. Oggi è un trojan comune."
SICUREZZA
- Cybersicurezza, per un vendor come Eset è una maratona
- Scansioni malware più “leggere” con Intel e Acronis
- Plink nella cybersicurezza con servizi di monitoraggio e risposta
- Phishing, attenzione alle nuove tattiche che superano i controlli
- Sicurezza in cloud più completa con l’accordo tra SentinelOne e Wiz
NEWS
- L’intelligenza artificiale preoccupa Elon Musk e Steve Wozniak
- Ransomware, il 38% delle aziende colpito più volte in un anno
- Da SharePoint a YouTube, le trappole subdole del phishing
- Skillskan, un motore per “sposare” domanda e offerta di lavoro
- Una piattaforma gestita per cloud ibrido con Red Hat e Aruba
