Una nuova analisi del Trojan Duqu ha concluso non ci sono prove sufficienti per collegarlo a Stuxnet e ritiene l’ipotesi iniziale, che sosteneva che Duqu era una nuova versione del worm, speculazione pura.
Il rapporto sul trojan Duqu rilasciato di recente dalla Dell SecureWorks Counter Threat Unit ammette le somiglianze sorprendenti con il worm Stuxnet, ma sostiene che Duqu è stato progettato per uno scopo completamente diverso. Si potrebbe ipotizzare che i componenti di attivazione condividono una fonte comune, tuttavia le prove raccolte sono insufficienti per confermare un rapporto diretto, sostengono i ricercatori, che concludono che non esiste, al momento, una relazione diretta tra Duqu e Stuxnet a qualsiasi altro livello.
Anatomia del trojan
Duqu è stato progettato per consentire agli hacker di installare altri programmi maligni in grado di registrare le battiture, raccogliere informazioni di sistema, prendere screenshot ed esplorare i file. Una prima analisi di Duqu era stato rilasciata da Symantec il 18 ottobre scorso e ha concluso che il malware potrebbe essere il precursore di un futuro attacco “stile Stuxnet”.
Parti di Win32.Duqu sono quasi identiche a Stuxnet e questo farebbe pensare che sia stato creato da qualcuno che ha accesso al codice sorgente Stuxnet. Symantec ha rivisto la propria relazione iniziale, affermando che Duqu è stato trovato all’interno di sistemi di “produttori del settore industriale”.
Secondo Liam O Murchu, responsabile delle operazioni del Symantec Security Response Team, le aziende che avevano Duqu sui loro sistemi «non erano necessariamente i produttori di sistemi di controllo dei processi ma, magari, quelli che producono più semplicemente una valvola o un tubo utilizzato in un impianto industriale del sistema di controllo».
Non esisterebbe, di fatto, la prova che dimostra che Duqu è stato generato dagli stessi che hanno scritto Stuxnet, «ma sappiamo che entrambe le minacce sono state create dal medesimo codice sorgente», ha detto Murchu.
Similitudini con Stuxnet
Duqu e Stuxnet utilizzano un driver del kernel simile per decifrare e caricare file DLL (Dynamic Load Library), permettendo al cavallo di Troia di inoculare se stesso all’interno dei processi di sistema. Altri componenti che rendono Duqu particolarmente virulento sono utilizzati anche in Stuxnet ma, secondo i ricercatori, sono stati utilizzati anche in altri malware non correlati.
Le somiglianze tra i due sono, tuttavia, strabilianti nel software utilizzato per firmare il file del driver del kernel. Il certificato digitale viene utilizzato per “mascherare” il malware, che riuscirà così a farsi passare come un innocuo driver del kernel dal sistema infetto. Sia Stuxnet che Duqu appaiono, infatti, come un driver della JMicron Technology Company. Secondo il rapporto, tuttavia, questa non è una prova sufficiente per concludere che i due elementi sono correlati, perché certificati di firma compromessi possono essere ottenuti da diverse fonti. Si sarebbe dovuto provare, invece, che le fonti sono comuni per trarre una conclusione definitiva.
Come difendersi
I ricercatori stanno ancora cercando di rintracciare gli installer Duqu, cosa questa che fornirebbe indizi utili a capire come le macchine sono inizialmente infettato dal trojan. Nel frattempo, il team Dell SecureWorks assicura che la maggior parte delle tecnologie antivirus e antimalware in commercio è già in grado di rilevare le infezioni Duqu.
Le organizzazioni più esposte potranno anche adottare misure supplementari, quali il monitoraggio del traffico non-SSL per la comunicazione dei domini Duqu-related.
[…] la creazione di Stuxnet e Duqu sia stata ormai universalmente attribuita ai governi di Stati Uniti ed Israele, l’attribuzione […]