Il gruppo di criminali informatici che ha sviluppato il worm “Duqu” potrebbe aver lavorato sul suo codice per un periodo di tempo superiore, addirittura, ai quattro anni. E’ quanto afferma Kaspersky Lab dopo aver analizzato alcuni campioni del malware trasmessi ai laboratori della famosa azienda russa, produttrice di software antivirus e soluzioni per la sicurezza, da dei ricercatori.
Secondo le evidenze che sono emerse, il payload di Duqu sarebbe stato compilato nel mese di agosto 2007. “Non possiamo essere certi al 100% della datazione“, ha dichiarato Roel Schouwenberg, uno degli esperti di Kasperky precisando come la scoperta sia piuttosto verosimile.
Microsoft, da parte sua, aveva già confermato come il malware Duqu sfrutti, per insediarsi sui sistemi Windows, una falla presente nel driver kernel-mode di Windows (ved. quest’approfondimento). La lacuna di sicurezza, almeno per ora, non è stata ancora risolta: i tecnici di Redmond hanno preferito limitarsi a rilasciare un “workaround“. La vulnerabilità risiederebbe nel driver w32k.sys
e nel motore incaricato dell’elaborazione delle fonti di carattere TrueType (ved. questa pagina e questo nostro articolo).
Kaspersky conferma che Duqu viene al momento utilizzato per condurre attacchi mirati, soprattutto nei confronti di realtà aziendali. Secondo Schouwenberg coloro che hanno realizzato Duqu guarderebbero con grandissimo interesse alle aziende “con un atteggimento professionale e brillante“.
Symantec, la prima azienda ad aver scoperto il nuovo malware, ha dichiarato che ci sono diverse varianti del worm in circolazione: ne sarebbero una testimonianza i campioni analizzati da Kaspersky, differenti da quelli consegnati delle mani della società di Sunnyvale (California).
Schouwenberg ha poi confermato la valutazione iniziale di Symantec (ved. questo articolo): Duqu potrebbe essere stato davvero messo a punto dallo stesso gruppo di persone che hanno ideato il worm Stuxnet, utilizzato per attività di spionaggio industriale. Per l’esperto di Kaspersky vi sarebbero certamente molte differenze tra Stuxnet e Duqu, tuttavia, Schouwenberg rileva una “crescita” in termini di esperienza, da parte degli autori del secondo worm. Mentre Stuxnet viene definito “piuttosto rumoroso”, Duqu agisce con cautela sfruttando addirittura una vulnerabilità “zero-day” del sistema operativo, per la quale, quindi, non esiste ancora una patch risolutiva.