giovedì 20 ottobre 2011

Symantec scopre malware W32.Duqu, precursore del prossimo Stuxnet


I laboratori di ricerca di CrysysSymantec hanno scoperto una nuova minaccia informatica potenzialmente mirata ad aziende e infrastrutture critiche, che condivide gran parte del codice con il celebre malware Stuxnet, il primo worm in grado di spiare e riprogrammare PC industriali, scoperto nel giugno del 2010. Secondo Symantec gli autori di questa nuova minaccia, soprannominata Duqu, hanno avuto accesso al codice sorgente di Stuxnet.

Sarebbe quindi possibile che Duqu sia stato creato dagli stessi aggressori che hanno creato Stuxnet. L’obiettivo di Duqu è di raccogliere dati di intelligence e asset da aziende, quali ad esempio produttori di sistemi di controllo industriali, in modo da semplificare attacchi futuri volti a colpire terze parti. Gli aggressori sono a caccia di informazioni come documenti di progettazione che potrebbero aiutarli a sferrare un attacco futuro ad una struttura industriale.

Duqu sarebbe quindi il precursore di un possibile attacco simile a Stuxnet con conseguenze di natura economica e non solo. Duqu non contiene alcun codice relativo ai sistemi di controllo industriali ed è principalmente un Trojan di accesso remoto (RAT). La minaccia non si auto-replica. La nostra telemetria mostra che la minaccia era altamente mirati verso un numero limitato di organizzazioni per la loro specifiche attività.

Tuttavia, è possibile che altri attacchi siano stati condotti contro le altre organizzazioni in modo simile con varianti non rilevate. Gli aggressori Duqu utilizzano l'installazione di un infostealer in grado di registrare le battiture e ottenere altre informazioni di sistema. Gli aggressori sono alla ricerca di risorse che potrebbero essere utilizzate in un futuro attacco. In un caso, gli attaccanti non sembra aver filtrato con successo tutti i dati sensibili, ma i dettagli non sono disponibili in tutti i casi.


Due varianti sono state recuperate, e nel rivedere l'archivio di presentazione di Symantec, la prima registrazione di uno dei binari risale al 1° settembre 2011. Tuttavia, sulla base dei tempi di compilazione del file, gli attacchi che utilizzano queste varianti possono essere state svolti già nel dicembre 2010. Uno dei file del driver della variante è stato firmato con un certificato digitale valido che scade il 2 agosto 2012. Il certificato digitale appartiene ad una società con sede a Taipei, Taiwan.

Il certificato è stato revocato il 14 ottobre 2011. Duqu utilizza HTTP e HTTPS per comunicare con un server comando e controllo (C & C) che al momento della scrittura è ancora operativo. Gli aggressori sono stati in grado di scaricare i file eseguibili aggiuntivi attraverso il server C & C, tra cui un infostealer in grado di eseguire azioni come l'enumerazione della rete, la registrazione delle battiture, e la raccolta di informazioni di sistema.


Le informazioni vengono registrate in un file crittografato e locale leggermente compresso, che poi dev'essere dezippato. La minaccia utilizza un consueto protocollo C & C, in primo luogo scarica o carica quelli che sembrano essere i file JPG. Tuttavia, oltre al trasferimento fittizio dei file JPG, informazioni aggiuntive per l'exfiltration sono criptate e inviate, così come ricevuto.

Infine, la minaccia è configurata per funzionare per 36 giorni. Dopo 36 giorni, la minaccia viene automaticamente rimossa dal sistema. Duqu condivide una grande quantità di codice con Stuxnet, tuttavia, il payload è completamente diverso. Invece di un carico utile progettato per sabotare un sistema di controllo industriale, il payload è stato sostituito con il generale, funzionalità di accesso remoto. I creatori di Duqu avuto accesso al codice sorgente di Stuxnet, non solo il binario di Stuxnet.

Gli aggressori hanno intenzione di usare questa capacità per raccogliere informazioni da un soggetto privato per aiutare i futuri attacchi ad un terzo. Anche se sospetto, nessun file precursore simile è stato recuperato in precedenza con gli attacchi Stuxnet. Secondo la 2010 Symantec Critical Information Infrastructure Protection Survey, il 53% dei provider di infrastrutture critiche è stato attaccato mediamente 10 volte negli ultimi cinque anni con un costo medio di 850.000 dollari per attacco.

Mentre il 47% delle aziende italiane coinvolte nella ricerca ha il sospetto o la certezza di aver subito un attacco volto a manipolare o distruggere i sistemi di controllo aziendali tramite il proprio network con uno scopo specifico, posizionando le aziende nostrane in seconda posizione subito dopo l’Estonia al 49%. È possibile trovare ulteriori informazioni in formato pdf a questo indirizzo. Il campione del laboratorio di ricerca che originariamente ha permesso a Symantec di condividere il loro rapporto iniziale come appendice. Fonte: Symantec Via: Adnkronos

1 commento: