Duqu è una vecchia conoscenza. Si tratta di un malware che fu scoperto nel 2011 e che è stato messo in diretta correlazione con il ben noto Stuxnet. È stata Kaspersky ad annunciarne il ritorno dopo aver subìto un attacco alla propria infrastruttura aziendale.
Kaspersky, una delle società leader nelle soluzioni per la sicurezza informatica, ha ammesso di aver subito una pesante aggressione da parte di Duqu 2.0, minaccia sviluppata con lo scopo di rastrellare informazioni da obiettivi sensibili utilizzando attacchi mirati ed estremamente efficaci.
Kaspersky è una della aziende più attive nello studio e nel contrasto degli APT (Advanced Persistent Threat), minacce informatiche sviluppate per attività di spionaggio e sabotaggio che sfruttano tecniche di infezione nuove, mai usate prima (o quasi), per bersagliare enti governativi od obiettivi particolarmente importanti.
Duqu, così come la nuova variante scoperta in questi mesi, appartiene a pieno titolo agli APT. In questo caso Duqu 2.0 sarebbe stato scagliato contro Kaspersky proprio per spiare le attività di ricerca svolte in seno all’azienda russa e sottrarre le informazioni tecniche sulle tecnologie di rilevamento e protezione sviluppate.
Ciò che è particolarmente apprezzabile è che Kaspersky non ha voluto nascondere l’attacco subìto ma, tutt’altro, ha reso noti moltissimi dettagli sul comportamento di Duqu 2.0 e su ciò che ha provato a razziare.
Secondo quanto riferito da Kaspersky, i tecnici della società avrebbero fatto in tempo ad isolare la minaccia ed a scongiurare la sottrazione di dati preziosi.
Complessivamente, nel caso di Kaspersky, Duqu 2.0 avrebbe utilizzato fino a tre vulnerabilità di sicurezza Windows per aprirsi la strada all’interno della rete della società russa. Tutte le falle di sicurezza sulle quali il team di Duqu 2.0 ha fatto leva erano all’epoca zero-day, ossia non era stata ancora rilasciata alcuna patch risolutiva da parte di Microsoft.
Una delle vulnerabilità che è stata presa di mira nell’attacco è quella cui Microsoft fa riferimento con l’identificativo MS15-061. Sanata dal colosso di Redmond lo scorso 9 giugno, permette ad un aggressore di acquisire privilegi più elevati (leggasi, i diritti di amministratore) nel momento in cui dovesse essere eseguita sul sistema una particolare applicazione malevola.
Maggiori informazioni su Duqu 2.0 sono reperibili a questo indirizzo.
Interessante è questa tabella pubblicata circa un mese fa da Kaspersky. Lo specchietto propone l’elenco delle attività che secondo la società russa permetteranno alle aziende che possono essere maggiormente bersaglio di minacce APT, di proteggersi dall’85% dei più aggressivi malware come Duqu 2.0.
Le prime quattro operazioni, considerate un “must” dai tecnici di Kaspersky, sono le seguenti:
1) Attivare il whitelisting delle applicazioni (impostare regole a livello di sistema operativo che autorizzino l’esecuzione e l’utilizzo delle sole applicazioni “fidate”).
2) Aggiornare le varie applicazioni attraverso l’installazione delle patch di sicurezza via a via rilasciate dai rispettivi produttori.
3) Scaricare ed installare le patch per il sistema operativo.
4) Ridurre i privilegi amministrativi (durante il normale utilizzo del sistema si devono adoperare account utente “normali”, dotati di privilegi ridotti).