Aggiornamento su Duqu: vulnerabilità Zero-day e comunicazioni P2P
In seguito alle ricerche relative agli attacchi mirati di Duqu, Symantec ha confermato che è stata utilizzata una vulnerabilità zero-day di Microsoft precedentemente sconosciuta per infettare alcuni computer mirati.
Per maggiori informazioni relative a questo aggiornamento e per vedere i risultati dell’analisi di Symantec e CrySyS (Laboratory of Cryptography and System Security) è possibile visitare il Symantec blog post.
La vulnerabilità di Windows è stata sfruttata tramite un documento Word malevole che permetteva agli aggressori di installare i binari principali di Duqu. E’ dunque questa la componente per l’installazione mancante di cui si è discusso in precedenza. Da notare però che questo è solo uno dei metodi di installazione potenzialmente multipli che potrebbero esser stati utilizzati dagli aggressori per infettare i computer all’interno di varie organizzazioni.
Tra i vari risultati emersi dall’analisi troviamo le prove di indicazioni a comando inviate a Duqu per diffondersi all’interno dei network infetti; la capacità degli aggressori di comunicare con computer infetti con Duqu e non connessi a internet attraverso il metodo di comunicazione peer-to-peer; e l’individuazione di un ulteriore campione di Duqu studiato per comunicare con un secondo server di comando e controllo.
Il numero di infezioni Duqu confermate ad oggi è ancora limitato, ma si è assistito ad una propagazione di Duqu attraverso vari Paesi. In questo momento infezioni di Duqu sono state confermate in sei possibili organizzazioni presenti in 8 Paesi:
• Organization A – Francia, Olanda, Svizzera, Ucraina
• Organization B – India
• Organization C – Iran
• Organization D – Iran
• Organization E – Sudan
• Organization F – Vietnam
Altri vendor hanno registrato infezioni in altri Paesi:
• Austria
• Ungheria
• Indonesia
• United Kingdom
• Iran (Infezioni diverse rispetto a quelle registrate da Symantec)
