I ricercatori di Kaspersky sostengono di aver trovato le prove che dimostrano che il codice di Stuxnet e di Duqu sono la stessa cosa. L'argomento ha sollevato un acceso dibattito negli ultimi mesi e finora nessuno aveva presentato prove conclusive a riguardo.
Alexander Gostev, a capo della sicurezza di Kaspersky, in un comunicato pubblicato ieri sul sito della softwarehouse russa ha dichiarato che il suo gruppo di lavoro ha esaminato i driver utilizzati da Stuxnet e da Duqu e ha concluso che dietro a entrambi c'è un unico gruppo di sviluppatori. Il dato sarebbe confermato dall'epoca di creazione di entrambi e dai loro metodi di interazione con il resto del codice malware.
Duqu è opera degli stessi creatori di Stuxnet
Il collegamento tra Duqu e Stuxnet è stato scoperto durante l'analisi di uno degli attacchi perpetrati tramite Duqu. Nel corso delle indagini su sistema infetto è stato reperito un driver che era simile a quello utilizzato da una delle versioni di Stuxnet.
Il ricercatore ha affermato di ritenere che "questi driver sono stati utilizzati in una versione precedente di Duqu, per realizzare programmi maligni completamente diversi che peraltro hanno la stessa piattaforma e, probabilmente, un singolo creatore". La piattaforma comune su cui si basa il codice è stata soprannominata Tilded perché utilizza molti file che iniziano con il simbolo tilde "~" e la lettera "d".
Stuxnet è stato usato per mettere fuori gioco le centrali nucelari iraniane
La piattaforma è stata progettata intorno al 2007 ed è stata successivamente aggiornata nel 2010, con una nuova versione del driver che viene usato per il caricamento del modulo principale del programma maligno. Una volta pianificato un nuovo attacco vengono cambiati diversi parametri del driver tramite uno speciale programma.
Inoltre, il direttore globale della ricerca di Kasperky ha confidato all'agenzia Reuters che la piattaforma Tilded potrebbe essere alla base di cinque famiglie di malware, e che altri potrebbero essere in fase di sviluppo. Inoltre, la modularità di questo diabolico sistema rende facile adattare il malware a nuovi scopi, mettendo in campo nuove tecniche. Per far capire cosa intende, Costin Raiu ha spiegato che questo codice "è come un Lego: si possono assemblare i componenti e ricavarne all'occorrenza un robot o una casa o un carro armato".