Duku, il nuovo trojano-spia “firmato” dal team di Stuxnet

Anche grazie al crowdsourcing, gli esperti Kaspersky Lab svelano il notevole grado di sofisticazione di un misterioso malware scoperto nel settembre 2011

Una componente sempre più fondamentale del crimine informatico è quella che fa affidamento sulle classiche strategie della cosiddetta “ingegneria sociale”. Ma non bisogna mai abbassare la guardia sui livelli di sofisticazione ed efficienza del malware, perché il codice maligno resta l’arma più potente e difficile da contrastare.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Lo dimostra il caso di “Duqu”, un nuovo trojan individuato per la prima volta lo scorso settembre in Ungheria e lungamente analizzato dai Kaspersky Lab, attraverso un lavoro di indagine che la dice lunga sui livelli di competenza e abilità necessari oggi nella lotta ad hacker, spie informatico-industriale e cybercriminali assortiti.

In questi giorni Vitaly Kamluk, chief malware expert presso il Global Research and Analysis Team di Mosca, ha tenuto una press conference via Web per raccontare ai giornalisti europei la storia del “mistero” Duku e la sua parziale risoluzione. Una storia che sembra un romanzo poliziesco.

La prima cosa che era saltata agli occhi degli analisti sei mesi fa, ha detto Kamluk, è la forte somiglianza della struttura di Duku con Stuxnet, il virulento “worm” che era riuscito ad attaccare dei sistemi industriali embedded. Stessa struttura modulare e soprattutto analogo approccio: un vero e proprio “vettore” di trasporto e un carico maligno che viene liberato nel computer sotto attacco. A questo punto sembra molto probabile che Stuxnet e Duku provengono dalla stessa squadra di programmatori. Ma quale? E come hanno lavorato?

Mentre Stuxnet aveva un tasso di infettività molto elevato, Duku è stato osservato su un numero relativamente ristretto di macchine e di aree geografiche. La sua è una tipica funzione di key-logger, ma può catturare altre informazioni. Un trojano bravo a spiare, pensato quasi sicuramente per colpire specifici bersagli.

Leggi anche:  Microsoft avrebbe nascosto una vulnerabilità di Dall-E

Il discorso si fa ancora più interessante quando Kamluk comincia a spiegare come il team di Kaspersky è riuscito a ricostruire l’architettura di base e i linguaggi utilizzati. Anche qui la differenza tra Stuxnet e Duku è piuttosto netta. Il primo è stato sviluppato in Visual C++, il secondo no e Kaspersky ha dovuto affidarsi anche alla comunità internazionale dei programmatori per svelare un segreto che, sulle prime, sembrava impenetrabile. Dopo aver raccolto ed esaminato migliaia di pareri espressi dalla comunità di SecureList, il forum specializzato di Kasperksky, è emersa una impronta che ha permesso di ricondurre Duku al “semplice” linguaggio C, con uno sviluppo basato però su vero e proprio framework di “object orientation”. In altre parole, un linguaggio vecchio inserito in un contesto recente, da tecnici – ha sottolineato Kamluk – molto esperti e preparati. Il sospetto è addirittura che gli hacker della situazione abbiano sfruttato il lavoro di programmatori professionisti, probabilmente inconsapevoli dalla piega criminale assunta in seguito dal loro codice.

La strada che ha portato a Duku, in conclusione, è molto complessa, ma il risultato è un codice molto efficiente, facilmente adattabile e compatto. Che in futuro potrebbe ritornare utile per molti altri attacchi. Ancora una volta il primo comandamento è la prudenza: Duku attacca le singole macchine attraverso un allegato che sfrutta una vulnerabilità dell’ambiente Windows (una routine che elabora nuovi set di caratteri, “imbrogliata” da un font chiamato “Dexter”, come il popolare serial tv). Per non farsi colpire bisogna installare tutte le ultime patch di sistema, aggiornare gli antimalware e ignorare tutte le mail sospette o comunque tutti gli allegati non richiesti.

Leggi anche:  Hitachi Vantara e Veeam insieme per offrire soluzioni complete di Data Protection per il cloud ibrido