Stuxnet e Duqu, dietro ai virus c'è la stessa mano
Stuxnet e Duqu provengono dalla stessa piattaforma Tilded e possono essere modulati per adattarsi a diverse esigenze. I ricercatori di Kaspersky sono certi che anche il gruppo di sviluppo della piattaforma sia lo stesso, e che il malware sia stato già impiegato per fabbricare cinque famiglie di malware, a cui ne seguiranno altre.
Pubblicato il 30 dicembre 2011 da Elena Re Garbagnati
I ricercatori di Kaspersky sostengono di aver trovato le prove che dimostrano che il codice di Stuxnet e di Duqu sono la stessa cosa. L'argomento ha sollevato un acceso dibattito negli ultimi mesi e finora nessuno aveva presentato prove conclusive a riguardo.
Alexander Gostev, a capo della sicurezza di Kaspersky, in un comunicato pubblicato ieri sul sito della softwarehouse russa ha dichiarato che il suo gruppo di lavoro ha esaminato i driver utilizzati da Stuxnet e da Duqu e ha concluso che dietro a entrambi c'è un unico gruppo di sviluppatori. Il dato sarebbe confermato dall'epoca di creazione di entrambi e dai loro metodi di interazione con il resto del codice malware.
Duqu è opera degli stessi creatori di Stuxnet
Il collegamento tra Duqu e Stuxnet è stato scoperto durante l'analisi di uno degli attacchi perpetrati tramite Duqu. Nel corso delle indagini su sistema infetto è stato reperito un driver che era simile a quello utilizzato da una delle versioni di Stuxnet.
Il ricercatore ha affermato di ritenere che "questi driver sono stati utilizzati in una versione precedente di Duqu, per realizzare programmi maligni completamente diversi che peraltro hanno la stessa piattaforma e, probabilmente, un singolo creatore". La piattaforma comune su cui si basa il codice è stata soprannominata Tilded perché utilizza molti file che iniziano con il simbolo tilde "~" e la lettera "d".
Stuxnet è stato usato per mettere fuori gioco le centrali nucelari iraniane
La piattaforma è stata progettata intorno al 2007 ed è stata successivamente aggiornata nel 2010, con una nuova versione del driver che viene usato per il caricamento del modulo principale del programma maligno. Una volta pianificato un nuovo attacco vengono cambiati diversi parametri del driver tramite uno speciale programma.
Inoltre, il direttore globale della ricerca di Kasperky ha confidato all'agenzia Reuters che la piattaforma Tilded potrebbe essere alla base di cinque famiglie di malware, e che altri potrebbero essere in fase di sviluppo. Inoltre, la modularità di questo diabolico sistema rende facile adattare il malware a nuovi scopi, mettendo in campo nuove tecniche. Per far capire cosa intende, Costin Raiu ha spiegato che questo codice "è come un Lego: si possono assemblare i componenti e ricavarne all'occorrenza un robot o una casa o un carro armato".
NEWS
- Unify cambia (ancora) padrone e si appresta a passare a Mitel
- Meta ancora in calo, il 2023 sarà “l’anno dell’efficienza”
- Libero Mail e Virgilio Mail tornano alla normalità, previsti rimborsi
- Sap sposta infrastruttura e offerta su Red Hat Enterprise Linux
- Scomparso Gianfranco Lanci, storica guida di Acer e Lenovo
