Sicurezza  »  Articoli  »  Approfondimento Virus 

Introduzione

Si fa un gran parlare in Rete di Duqu, un malware di ultima generazione che presenta alcune caratteristiche peculiari e forse rappresenta un punto di svolta nella codifica di un malware.

Le prime notizie di Duqu si hanno intorno a settembre 2011 quando, secondo quanto riferisce Costin Raiu (attuale R&D Chief di Kaspersky Lab Romania) in un'interessante intervista, un collega di un'altra azienda gli invia un file binario chiedendogli di dargli un'occhiata. A prima vista sembrava che mandando in esecuzione il file non accadesse assolutamente nulla. Se però l'eseguibile veniva invocato aggiungendo un parametro (chiamato "XXX"), si scatenava un keylogger in grado di intercettare keystrokes, schermate, copiare configurazioni ed altro. I dati raccolti venivano poi scritti in un file temporaneo, creato nella directory temporanea (%TEMP%) il cui filename iniziava con il prefisso ~DQ, da cui il nome affibbiato al malware: "Duqu". Tale file veniva poi compresso e restava inspiegabilmente lì, senza inviare informazioni a nessuno; un comportamento molto strano per un keylogger che, generalmente, è fatto apposta per rubare informazioni e inviarle ad un attacker. Il team di Raiu concluse, quindi, che probabilmente si trattava solo di uno dei componenti del malware o, più precisamente, di un solo modulo.

Ad ottobre 2011 viene pubblicato, in coda ad un report di Symantec, il lavoro svolto dai ricercatori del CrySyS Lab, della Budapest University of Technology and Economics, che avvalora la tesi del gruppo di ricerca di Costin Raiu, secondo cui siamo di fronte ad un hacking toolkit modulare.

Un malware Stuxnet-like

Nel report, il CrySyS Lab individua in Duqu una serie di elementi in comune con Stuxnet, il worm che attacca i sistemi basati su SCADA e di cui c'è ormai ampia letteratura in rete, soprattutto dopo l'attacco alle centrali nucleari iraniane. Tali elementi fanno concludere ai ricercatori che Duqu abbia una serie di punti in comune con Stuxnet e che chi lo ha scritto abbia partecipato anche al team di sviluppo di Stuxnet o quanto meno abbia avuto accesso al codice sorgente di quest'ultimo. Tale ipotesi viene sostenuta peraltro anche dallo stesso Raiu.

Altri analisti, invece, come quelli di NSS Labs, ritengono che, per quanto Duqu abbia molti elementi in comune con Stuxnet, sia prematuro parlare di uno "Stuxnet 2". Una cosa è certa, però. Mentre l'obiettivo di Stuxnet è quello di compromettere i sistemi industriali, autoreplicandosi il più possibile (e quindi facendo molto "rumore"), quello di Duqu è di acquisire informazioni nel modo meno invasivo possibile, ottenendo progetti, documenti, configurazioni, credenziali e quant'altro possa essere utile per poter condurre successivamente un attacco mirato. Da questo punto di vista, quindi, appare chiaro che Stuxnet sia stato realizzato per fare danni, mettendo in crisi i sistemi di controllo delle installazioni industriali, mentre Duqu sia essenzialmente un Remote Access Trojan (RAT), finalizzato all'information gathering, che non si autoreplica, lascia meno tracce possibili e dopo aver esaurito il suo compito, come vedremo, si autodistrugge.

Vediamo quindi una breve comparazione tra le caratteristiche principali di Duqu e Stuxnet:

• Duqu contiene codice sorgente simile a quello usato per Stuxnet.
• Duqu usa tecniche simili a Stuxnet, nello specifico per ciò che concerne l'utilizzo dei driver, che vengono firmati attraverso certificati digitali apparentemente legittimi. Non è noto se tali certificati siano stati trafugati o generati direttamente dagli attackers a seguito diella compromissione di una Certification Authority (CA).
• Duqu non è self-replicating, quindi non è un worm come Stuxnet. Esso richiede l'utilizzo di un "dropper", cioè di un modulo che faccia da "base di lancio" per installarlo in un sistema. Tale dropper viene installato grazie ad un kernel exploit di tipo 0-day che utilizza come vettore di attacco un normale documento Microsoft Word; il meccanismo verrà descritto nel dettaglio nel paragrafo dedicato al metodo di infezione usato da Duqu.
• Duqu installa un keylogger per registrare i keystrokes e carpire altre informazioni dal sistema "ospite". Come già accennato sopra, le informazioni trafugate vengono salvate all'interno di file di immagini che, a loro volta, vengono criptati e compressi.

In figura è riportata una tabella che mostra una comparazione puntuale tra Stuxnet e Duqu.

Figura 1: Confronto tra Stuxnet e Duqu
(clic per ingrandire)

Altri articoli

Altre guide

Altre newsletter