Kaspersky, attenti al nuovo virus Duqu 2.0
L’attacco avviene mediante nuove tecniche mai utilizzate prima, alcune delle quali sviluppate per non lasciare traccia sui computer delle vittime. Duqu 2.0 non mantiene nessun file su disco (risiede solo in memoria) e non modifica le impostazioni del sistema operativo, rendendo difficile la sua individuazione. Ecco come proteggersi.
Kaspersky ha rilasciato una corposa nota in cui si legge che i sistemi della stessa società di sicurezza sono stati vittima di un complesso attacco da hacker. Qualcosa di “mai visto” prima d’ora, secondo Kaspersky, che ha individuato in una variante di Duqu il malware iniettato all’interno dei propri computer: “Si tratta di un chiaro caso di spionaggio industriale puro e semplice”, ha confermato lo stesso Eugene Kaspersky.
Duqu 2.0, così è stato battezzato il nuovo malware, è “una generazione avanti rispetto a qualsiasi cosa che abbiamo visto”, ha dichiarato la società. Alla base somiglia particolarmente al già esistente Duqu, ma utilizza una serie di trucchetti per far sì che sia decisamente più difficile individuarlo e conseguentemente neutralizzarlo. La società è riuscita a scovarlo solo attraverso l’uso di uno strumento per la rilevazione di malware estremamente avanzati, ma ammette che si è trattato di un colpo di fortuna.
Il tool è infatti ancora allo stadio embrionale dello sviluppo e sembra, dalle parole di Kaspersky, che il team alla base dell’attacco non abbia sfruttato tutte le potenzialità del malware per mantenerlo nascosto. “Questo attacco altamente sofisticato ha utilizzato almeno tre exploit zero-day, il che è davvero impressionante visti i potenziali costi d’esecuzione elevatissimi”, ha dichiarato Costin Raiu di Kaspersky.
“Per rimanere nascosto, il malware risiede solo nella memoria del kernel, così che le soluzioni anti-malware possano avere problemi a rilevarlo. In più non si collega direttamente ad un server command-and-control per ricevere istruzioni. Gli attaccanti, invece, infettano i gateway e i firewall della rete installando driver malevoli che portano tutto il traffico dalle reti interne ai server command-and-control esterni”.
Sembra che l’attacco iniziale sia stato condotto partendo dal computer di un impiegato di un ufficio APAC minore attraverso una campagna di phishing. La teoria, imbastita direttamente da Kaspersky, è supportata dal fatto che quando è stata scoperta l’origine dell’attacco, gli aggressori hanno cancellato tutte le email dell’impiegato e la sua cronologia di navigazione. La compagnia sta ancora verificando dati e informazioni sui log di backup per confermare l’ipotesi.
Sebbene gli aggressori ricercassero – forse – codici e segreti aziendali di Kaspersky, Duqu 2.0 è stato utilizzato anche per operazioni malevole più delicate: “Attaccarci non è stata la mossa più saggia, visto che adesso hanno perso un framework costoso e tecnologicamente avanzatissimo che probabilmente hanno sviluppato per anni”, si legge sul blog ufficiale. “Inoltre hanno cercato di spiare tecnologie, le nostre, che possono essere accessibili facilmente attraverso eventuali accordi di licenza”.
“Più ci penso e meno ne capisco il senso”, ha aggiunto lo stesso Kaspersky. Le indagini comunque procedono per appurare nuovi dettagli e ulteriori informazioni sull’aggressione subita dalla società.Kaspersky infine rassicura i propri clienti: nessun dato sensibile, né della società né dei suoi utenti, è stato violato durante l’aggressione. Il report dettagliato su Duqu 2.0 può essere consultato in questa pagina. (fonte)
Come proteggersi
Le tre vulnerabilità zero-day di Windows sono state tutte risolte. L’ultima patch (MS15-061) è stata rilasciata da Microsoft il 9 giugno scorso. Mantenete aggiornati i vostri sistemi operativi e gli strumenti antivirus e antimalware installati sul vostro sistema.
