Duqu, mistero risolto

Kaspersky ringrazia per i consigli e illustra le conclusioni. Ora il linguaggio di programmazione del malware è stato identificato. Restano da scovare gli autori

Roma – Due settimane e molti messaggi dopo, i tecnici di Kaspersky Lab dicono di aver risolto il dilemma: il misterioso linguaggio di programmazione in cui sono scritte alcune parti del malware noto come Duqu, un trojan parente stretto di Stuxnet, altro non è che un dialetto del notissimo linguaggio C. Niente di totalmente esotico, non foss’altro che si tratta di un paradigma di solito appannaggio di Mac OS e traslato per l’occasione in casa Windows. Con molti ringraziamenti a tutti coloro che hanno fornito spunti e indizi per venire a capo della questione.

Stando a quanto raccontato dai ricercatori del laboratorio russo, tra i molti consigli arrivati ce n’erano diversi che riscuotevano più consenso di altri: LISP e tutte le sue varianti, Delphi, vecchi compilatori C++ e persino il neonato Google Go sembravano tutti probabili candidati. Alla fine, tra i vari commenti ce ne sono stati un paio che hanno avvicinanto la risposta: uno in cui si è citato espressamente SOO , Simple Object Orientation for C (le cui specifiche sono state pubblicate dopo la diffusione di Duqu), l’altro che suggeriva l’utilizzo di MSVC versione 2008 per la complilazione.

Dopo un po’ di tentativi, i Kaspersky Lab hanno ristretto il cerchio: il codice del payload di Duqu, la parte che collega il malware ai suoi centri di comando & controllo , sarebbe scritto in un dialetto del C noto ai più come “OO C” (Object Oriented C), compliato nella release 2008 di Microsoft Visual Studio con le opzioni “/O1” ( minimize size ) e “/Ob1” ( expand only __inline ) attive. Gli esperimenti in tal senso sembrano aver dato riscontro positivo, confermando con un buon grado di attendibilità questa ipotesi: un certo numero di macro sembra essere stato inglobato nel framework per velocizzare la scrittura del codice, e cercando di evitare scientemente l’uso del C++ pur volendo lavorare con un linguaggio a oggetti. L’idea del meccanismo ad eventi alla base di OO C , a ogni modo, è tipico dell’ObjectiveC, linguaggio principe di OS X.

Le conclusioni di Kaspersky sono le seguenti: Duqu, come anche Stuxnet, gode di un’attenzione al modo in cui è stato realizzato piuttosto singolare, di certo non usuale per un malware. Dietro la costruzione di Duqu si intravede un design dell’architettura del software ricercato, così come insolita è la scelta del linguaggio di programmazione del payload: il fatto che una porzione del binario sia stata realizzata in questo modo fa pensare o al coinvolgimento di diverse entità che hanno collaborato, più o meno consapevolmente, alla realizzazione di un malware complesso quale è Duqu, o comunque almeno al contributo di almeno uno sviluppatore professionista (non uno studente alle prime armi) con una cultura e un’esperienza in fatto di programmazione non indifferente.

La decisione da parte degli autori di Duqu di ricorrere a una soluzione insolita per creare il proprio malware non è così rara, ma pone alcune difficoltà in più agli analisti che devono a posteriori analizzare i binari in cerca di indicazioni sul comportamento del trojan. A differenza di Stuxnet, in ogni caso, che pure condivide con Duqu la cura con cui è stato confezionato, il malware in questione non è stato pensato per la massima viralità: mentre Stuxnet ha avuto un’ampia diffusione globale, per il momento Duqu rimane abbastanza confinato geograficamente a Europa e Medioriente, e non sono presenti nel codice indicazioni specifiche per rintracciarne gli autori o dedurne la nazionalità.

Luca Annunziata

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • bubba scrive:
    noto questo
    http://punto-informatico.it//3475496/PI/News/microsoft-patch-tuesday-sei-bollettini-uno-critico.aspx?ct=0&c=1&o=0&th=0#p3481829
  • Fai il login o Registrati scrive:
    RDP usato da aziende?
    <I
    "La vulnerabilità, inizialmente scovata dal "bug hunter" italiano Luigi Auriemma, è localizzata nel servizio Remote Desktop Protocol (RDP) per l'acXXXXX da remoto, una funzionalità disattivata di default ma usata comunemente in ambito aziendale..." </I
    L'azienda che usa RDP i guai se li cerca...
    • marco scrive:
      Re: RDP usato da aziende?
      e perche? è la base dei collegamenti remoti è il piu usato e funziona molto beneil tuo post è ridicolo a dir poco
      • IngSoc scrive:
        Re: RDP usato da aziende?
        Funziona molto bene, ma normalmente nelle aziende non si espone mai un server RDP ad Internet ma si permette l'acXXXXX solo dopo essere autenticati con un VPN. Io ho sempre visto fare in questo modo.
        • lol scrive:
          Re: RDP usato da aziende?

          Funziona molto bene, ma normalmente nelle aziende
          non si espone mai un server RDP ad Internet ma si
          permette l'acXXXXX solo dopo essere autenticati
          con un VPN. Io ho sempre visto fare in questo
          modo.no, (anche gestori di grandi aziende) se ne fregano della security, salvo poi dire: mi hanno bucato il server come mai?sicuramente la VPN è da preferire/d'obbligo in questi ambiti.
    • ruzzolo scrive:
      Re: RDP usato da aziende?
      - Scritto da: Fai il login o Registrati
      <I
      "La vulnerabilità, inizialmente
      scovata dal "bug hunter" italiano Luigi Auriemma,
      è localizzata nel servizio Remote Desktop
      Protocol (RDP) per l'acXXXXX da remoto, una
      funzionalità disattivata di default ma usata
      comunemente in ambito aziendale..." </I


      L'azienda che usa RDP i guai se li cerca...Evidentemente se li cercano in molti visto che gran parte delle aziende che si poggiano su prodotti Microsoft usano RDP.
    • non registrato scrive:
      Re: RDP usato da aziende?
      Soluzioni alternative (ovviamente piu' sicure) ?
    • Francesco scrive:
      Re: RDP usato da aziende?
      Come no... usiamo tutti Citrix.Secondo me il sucXXXXX di Citrix è nato da chi ha cominciato a lavorare con Terminal Server 2000, e dopo aver sperimentato i limiti del vecchio sistema operativo ha trovato un prodotto migliore.Ma il 2008 ha ben poco da invidiare a Citrix, anzi. Non ho mai avuto tempo di esplorarlo a fondo, ma sono convinto che ha delle potenzialità momto superiori a quelle del concorrente.
      • marco scrive:
        Re: RDP usato da aziende?
        ti ricordo che l'RDP di microsoft non è tato sviluppato da MS stessa ma da citrix, questo vale per tutte le versini esistenti dalla prima all'ultima alle future.Il clint citrix ICA è superiore ma perche è nato per essere usato in maniera differente con prestazioni superiori ma un costo molto elevato, quindi per un utilizzo di base l'RDP è perfetto a meno di non fare virtualizzazione del desktop o applicative in azienda con centinaia di client dove soluzioni dedicate come quella di citrix non hanno uguali e sono molto piu complete della controparte integrata gratuitamente nel SO.
        • la redazion si riserva di cancellare scrive:
          Re: RDP usato da aziende?
          "gratuitamente"
        • Francesco scrive:
          Re: RDP usato da aziende?
          A quanto mi ricordo esisteva una versione specifica di NT4 che fungeva da terminal server, ed era sviluppata da terzi (Citrix?).Da 2000 il prodotto è stato sviluppato da Microsoft, e in 2008 rifatto ex novo e profondamente integrato, tant'è che in realtà esiste poca differenza tra il desktop fisico, quello connesso al monitor, ed uno remoto.Comunque Terminal Server se usato per gestire le sessioni operative è tutt'altro che gratuito, ci sono licenze specifiche sia per il server che per il client.Infine sicuramente su grandi applicazioni Citrix sarà più performante, ma come sempre il prodotto M$ è ottimo per medie piccole installazioni, ne conosco una con oltre 130 client. Naturalmente dietro non c'è il solito serverucolo da 1000 euro.Peraltro conosco altre installazioni Citrix delle stesse dimensioni, non paragonabili in quanto ad applicativi, che danno più grattacapi di quanto la nomea di Citrix farebbe pensare.
  • P.Inquino scrive:
    emmenthal
    EVVIVA IL FORMAGGIO!
Chiudi i commenti