Duqu: il precursore del prossimo Stuxnet

In almeno una organizzazione colpita, Symantec ha verificato che il file di installazione era un documento di Microsoft Word (.doc) che ha sfruttato una vulnerabilità del kernel sconosciuta che consente l'esecuzione di codice. All'apertura del file, il codice nocivo è stato eseguito e ha installato i file binari principali di Duqu. Microsoft è al corrente della vulnerabilità e sta lavorando per rilasciare una patch e le relative istruzioni.

Aggiornamenti principali

1 novembre 2011

• Una vulnerabilità zero-day priva di patch viene sfruttata tramite un documento di Microsoft Word e installa Duqu
• Gli aggressori possono diffondere Duqu su computer in zone protette e controllarli tramite un protocollo C&C peer-to-peer
• Almeno sei organizzazioni in otto paesi hanno confermato le infezioni
• È stato scoperto e chiuso un nuovo server C&C in hosting nel Belgio

Ulteriori informazioni su Duqu da parte degli esperti di Symantec Security Response

• Blog: Aggiornamenti di stato compresa la rilevazione dell'exploit zero-day, 1 novembre 2011
• White paper: W32.Duqu – Il precursore del prossimo Stuxnet, versione 1.3, 1 novembre 2011
• Blog: Duqu: Informazioni aggiornate sull'individuazione, 21 ottobre 2011
• Blog: Aggiornamento di stato n. 1, 21 ottobre 2011
• Blog: W32.Duqu – Il precursore del prossimo Stuxnet, 19 ottobre 2011
• Informazioni sulla protezione: W32.Duqu

Guarda il webcast Symantec

Duqu: Il precursore del prossimo Stuxnet?

Registrato martedì 20 ottobre

Cosa dicono i media di Duqu:

Articolo di Wired Magazine Son of Stuxnet Found in the Wild on Systems in Europe

Articolo del New York Times New Malicious Program by Creators of Stuxnet Is Suspected

Articolo di BBC News Researchers warn of new Stuxnet worm

Articolo di The Register Stuxnet-derived malware found infecting SCADA makers

Articolo del Financial Times Spying program affects industrial sites

Articolo di Bild.de Mysteriöser Computervirus „Duqu“ bedroht Konzerne

Articolo di 01net Duqu : le ver successeur de Stuxnet

Articolo di Forbes Son of Stuxnet

Articolo di The Washington Post New Stuxnet-like code is discovered

Uno sguardo retrospettivo al ruolo di Symantec nella vicenda Stuxnet

• Leggi l'articolo di Wired "How Digital Detectives Deciphered Stuxnet, the Most Menacing Malware in History"
• Scarica il Dossier su W32.Stuxnet, febbraio 2011 (PDF)
• Guarda il video "Stuxnet: Come infetta i PLC"

Il significato di Stuxnet

Ciò che rende Stuxnet particolarmente devastante è che è stato progettato per fare un salto mai visto prima dal mondo digitale al mondo reale. Stuxnet è un worm per computer progettato per colpire sistemi di controllo industriale utilizzati per monitorare e azionare impianti industriali su larga scala.

La maggior parte del malware attualmente in circolazione è progettata per rubare informazioni e sottrarre denaro dai conti correnti bancari ed entrambe queste attività producono effetti indiretti sulle nostre vite reali. Ma Stuxnet è andato molto oltre. Il suo scopo era quello di riprogrammare i sistemi di controllo industriale, ovvero i programmi per computer utilizzati per gestire ambienti industriali come centrali elettriche, raffinerie e oleodotti. Il suo obiettivo finale era manipolare l'apparecchiatura fisica collegata a specifici sistemi di controllo industriale in modo che l'apparecchiatura si comportasse nel modo programmato dall'aggressore, diverso da quello previsto originariamente. Un esito di questo tipo poteva essere motivato da diversi obiettivi, ma sabotaggio, distruzione e guerra informatica erano certamente i più ovvii.

Stuxnet ha aperto la porta al malware con profonde implicazioni politiche e sociali. C'è molto da imparare dalla complessità della minaccia Stuxnet. Di fatto, Stuxnet ha cambiato l'approccio dei ricercatori al malware e il modo in cui essi considerano il panorama delle minacce.