Gli autori del worm Stuxnet tornano a far parlare di sé. Il malware destò molto scalpore circa un anno fa per le sue abilità tese ad infettare i personal computer Windows utilizzati per il controllo dei sistemi industriali. L’attacco sferrato da Stuxnet, infatti, prendeva di mira i programmi di monitoraggio e controllo industriale SCADA/WinCC e PCS 7 impazzando soprattutto in Iran (ved. questo articolo e questi approfondimenti).
I tecnici di Symantec, stando a quanto riportato in queste ore, avrebbero rilevato il ritorno di Stuxnet. Un malware che sembra ricollegabile agli stessi autori si sta già diffondendo sui sistemi di diverse imprese europee. Anche in questo caso, la minaccia sembra concentrarsi sui sistemi di controllo impiegati a livello industriale offrendo così degli indizi circa le mire degli sviluppatori: sottrarre segreti aziendali con l’intento di sferrare, successivamente, attacchi nei confronti di singole società.
Secondo l’analisi resa pubblica da Symantec, il nuovo worm – battezzato Duqu – sarebbe simile a Stuxnet per molti aspetti. Ciò suggerisce il fatto che gli sviluppatori abbiano avuto accesso al codice sorgente di Stuxnet oppure che Duqu sia stato realizzato dallo stesso team di criminali informatici.
Tuttavia, mentre Stuxnet era stato progettato con l’intento di alterare direttamente il funzionamento dei sistemi industriali, Duqu sembra un più tradizionale spyware concepito con lo scopo di rubare dati sensibili. “Potrebbe trattarsi del precursore del prossimo Stuxnet“, si ipotizza da Symantec.
Come i trojan più moderni (i.e. ZeuS), Duqu comunica, in forma crittografata, con un server attraverso il quale gli autori del malware possono controllare il suo comportamento. Le macchine infette trasmettono a tale server le informazioni raccolte e restano in attesa di nuove istruzioni.
I tecnici di Symantec hanno riscontrato come Duqu attenda 15 minuti prima di attivarsi, una volta insediatosi sul sistema. Tale comportamento è stato scelto, molto probabilmente, per nascondere il malware durante l’esecuzione all’interno di un ambiente di sandboxing.
Non è dato sapere in che modo Duqu ami diffondersi. Il dato interessante, però, è che nel momento in cui è stato scoperto, Duqu era firmato con un certificato digitale (indicato come valido fino al mese di agosto 2012) e concesso ad un’azienda di Taipei (Taiwan). Secondo gli esperti di Symantec, gli autori di Duqu avrebero rubato la chiave privata in modo da poter firmare digitalmente la loro “creatura”. Il cerificato, emesso da Verisign, è stato revocato lo scorso 14 ottobre, non appena fu scoperta l’esistenza di Duqu.