SICUREZZA INFORMATICA
Home news Sicurezza informatica Comunicato

Duqu: attacchi mirati in Iran e Sudan

Gli esperti Kaspersky Lab continuano ad analizzare in modo approfondito i nuovi programmi malevoli Duqu, che hanno alcune somiglianze con il worm Stuxnet che colpiva gli impianti industriali in Iran.
del 27/10/11 -

Roma, 27 ottobre 2011 – Gli esperti Kaspersky Lab continuano ad analizzare in modo approfondito i nuovi programmi malevoli Duqu, che hanno alcune somiglianze con il worm Stuxnet che colpiva gli impianti industriali in Iran. Nonostante l’obiettivo degli autori di questa nuova cyber minaccia sia ancora sconosciuto, è chiaro che Duqu è un tool universale per realizzare attacchi mirati contro un numero ridotto di obiettivi e che può essere modificato a seconda del ‘compito’ dato.

Molte caratteristiche del worm erano state rivelate nella prima parte dell’analisi di Duqu, condotta dagli esperti Kaspersky Lab. In primo luogo, in ogni modifica scoperta del programma malevolo i driver usati per infettare i sistemi sono stati cambiati. In un caso il driver ha utilizzato una firma digitale falsa, in altri invece il driver non è stato rilevato. In secondo luogo, è diventato evidente che potrebbero essere presenti altri elementi di Duqu, ma devono ancora essere rilevati. Secondo questi risultati è possibile supporre che il funzionamento di questo programma malevolo possa cambiare a seconda dell’obiettivo colpito. Il rilevamento di un numero ridotto di infezioni (solo un attacco è stato rilevato al momento della pubblicazione della prima parte dell’analisi Kaspersky Lab su Duqu) è la principale differenza tra Duqu e Stuxnet. Da quando è stato scoperto il primo esempio di programma malevolo, sono stati individuati altri quattro nuovi casi di infezione grazie a Kaspersky Security Network cloud-based. Uno di questi attacchi è stato rilevato in Sudan e altri tre in Iran.

In ognuno dei quattro attacchi Duqu è stata necessaria un’unica modifica del driver. Per quanto riguarda una delle infezioni in Iran, sono stati effettuati due tentativi di attacco alla rete sfruttando la vulnerabilità MS08-067. Questa vulnerabilità è stata usata anche da Stuxnet e Kido, un vecchio programma malevolo. Il primo dei due attacchi di rete è avvenuto il 4 ottobre e il secondo il 16 ottobre, entrambi sono partiti dallo stesso indirizzo IP – che formalmente apparteneva a un Internet Provider in USA.

Se ci fosse stato un solo tentativo di questo tipo, avrebbe potuto essere considerato come un’attività Kido – ma ci sono stati due attacchi consecutivi: questo elemento potrebbe suggerire un attacco mirato in Iran. Inoltre, è possibile che in questa operazione siano sfruttate altre vulnerabilità del software.

“Nonostante i sistemi attaccati da Duqu si trovano in Iran, ad oggi non ci sono prove che siano sistemi legati ai programmi industriali o nucleari. In questo modo non è possibile confermare che l’obiettivo di questo nuovo programma malevolo sia lo stesso di Stuxnet. Tuttavia è chiaro che ogni infezione Duqu è unica. Questa informazione permette di confermare che Duqu sarà utilizzato per attacchi mirato su obiettivi pre-determinati”, ha dichiarato Alexander Gostev, Chief Security Expert, Kaspersky Lab.

I risultati dell’analisi su Duqu sono disponibili su Securelist, cliccando qui

Licenza di distribuzione:
INFORMAZIONI SULLA PUBBLICAZIONE
Noesis
Responsabile account:
 Silvia Pasero (Account executive)
Contatti e maggiori informazioni
Vedi altre pubblicazioni di questo utente
© Pensi che questo testo violi qualche norma sul copyright, contenga abusi di qualche tipo? Contatta il responsabile o Leggi come procedere
Stampa ID: 148353