Duqu, figlio di Stuxnet e di madre ignota

Il nuovo, sofisticato malware ruba-informazioni continua a far parlare di sé: Kaspersky dice di aver individuato nuove infezioni in paesi come l'Iran, e di essere ancora alla caccia del sample originale

Roma – Il fenomeno Duqu continua a essere parzialmente avvolto dal mistero: il trojan ruba-informazioni, identificato da Symantec e altre società di sicurezza come derivato del famigerato worm anti-nuclearista Stuxnet , compare in luoghi improbabili e impegna gli esperti in una caccia al malware che non conosce sosta.

La security enterprise moscovita Kaspersky, impegnata (come tutte le società concorrenti) ad analizzare il nuovo fenomeno da cima a fondo, dice di aver scovato infezioni riconducibili all’insolito “parassita” in Sudan e in Iran – proprio laddove Stuxnet aveva colpito più forte mettendo fuori gioco o comunque rallentando il piano di arricchimento nucleare messo in atto da Teheran.

Kaspersky è a conoscenza dell’esistenza di diverse varianti di Duqu – con almeno 13 driver di livello kernel sin qui noti – sei delle quali sono in mano agli analisti russi per studi approfonditi. Le infezioni identificate in Iran potrebbero in particolare fornire preziose informazioni sui metodi di diffusione del malware, il quale essendo un trojan non è in grado di passare autonomamente da sistema a sistema.

Nello studiare Duqu anche Kaspersky mette in evidenza il suo essere impiegato per “attacchi mirati contro vittime scelte con cura”, la capacità di mutare a ogni infezione (con checksum e nomi di driver di sistema sempre variabili) e il fatto che i suoi autori sembrano attivamente impegnati a rispondere colpo su colpo alle azioni di contrasto dell’industria antivirale.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • STEFANO FIONDA. ROMA. scrive:
    MASSONE DAVID PAVONCELLO MDM BEVE XXXXXX
    MASSONE DAVID PAVONCELLO MDM BEVE XXXXXX
  • hthty scrive:
    BlackBerry?
    RIM? AHAHAHAHAHAHAHAHAHAHAH!
  • Ahiahi scrive:
    aziende e polizia stretta collaborazione
    Forse non lo sapete ma più o meno l'andazzo dell'India quanto a politica è 10 volte peggio che da noi, qualcosa che non si può nemmeno immaginare quindi. Quanto a polizia poi è 100 volte peggio che da noi, con qualche euro (anzi è la normalità) puoi assicurarti la collaborazione di molti ufficiali.Quindi questa miscela di azienda che ha interesse di fare soldi (quindi non può mettersi contro un governo), stato che non è gestito proprio in maniera cristallina, crittografia che non è nelle mani utente (e sua ignoranza) è piuttosto esplosiva.Non ci sono versi, non ci possono essere intermediari, la crittografia va implementata tra endpoint e in via autonoma, altrimenti risparmiamo cicli proXXXXXre e mandiamo tutto in chiaro che ci semplifichiamo la vita.
    • unaDuraLezione scrive:
      Re: aziende e polizia stretta collaborazione
      contenuto non disponibile
      • Ahiahi scrive:
        Re: aziende e polizia stretta collaborazione
        Meglio di Dropbox ma se non erro usa crittografia AES a 128, la NSA per le informazioni top secret consiglia i 192 o i 256 e poi c'è il problemino dell'implementazione, si sa qualche cosa come la realizzano?Cosa c'è dentro il loro client? Il codice è chiuso, quindi ti devi fidare di quello che dichiarano.E' un pò più scomodo, ma se ti serve uno storage esterno usa qualunque cosa, però crittografa a livello di client la roba con truecrypt e poi buttala su (potrebbe essere perfino un Gmail).Comunque qualunque cosa che si basi su un sistema che non ha codice aperto a livello client e di cui non puoi verificare l'uso di un AES con chiave un bel pò maggiore di 128 bit e l'implementazione, cioè non sia soggetto a una verifica di una peer review non è altamente affidabile.
        • unaDuraLezione scrive:
          Re: aziende e polizia stretta collaborazione
          contenuto non disponibile
          • Ahiahi scrive:
            Re: aziende e polizia stretta collaborazione
            Vedi, purtroppo non c'è niente da fare la sicurezza è una funzione della scomodità, più una cosa è scomoda e più diventa sicura.Tutto quello che è comodo purtroppo deve fare degli sconti. Prendiamo Dropbox, ok tu cripti i dati, ma hai sulla macchina un client proprietario con codice closed (e sempre caricato in memoria), che fa? Non è che ti dà un'occhiata prima di cifrare? Nella policy Dropbox c'è scritto che accetti che loro hanno acXXXXX alla tua macchina, anche se solo limitatamente alle cartelle condivise.Se vuoi security ti devi fare queste domande, ed è scomodo fare un reverse e fare i dump di tutto quello che va in uscita per analizzare che puoi stare tranquillo.Di cryptobox non so molto, spiace. Comunque in genere è un pò una rottura scavare un fossato e abbassare alzare il ponte levatoio, poi fare un muro di cinta, poi farne un secondo, poi avere un portone con doppia chiave, poi passare il cancello e passare l'ispezione delle guardie, poi ... Ma se vuoi resistere ai barbari alle volte è la sola strada ;-) Nel medioevo come oggi.
Chiudi i commenti