Symantec, la nota software house specializzata in programmi di sicurezza informatica, ha annunciato la presenza su alcuni personal computer europei di un malware che presenta lo stesso codice del virus Stuxnet. Ci si potrebbe trovare di fronte, quindi, al precursore di un nuovo grande attacco nei confronti dei sistemi informatici delle infrastrutture critiche. A differenza di Stuxnet, il worm che aveva colpito nello specifico i software di controllo ed acquisizione dati dell’azienda Siemens, il nuovo malware installa una backdoor sul sistema colpito e successivamente raccoglie informazioni che potrebbero essere riutilizzate in attacchi futuri.
Il virus è stato sviluppato per insinuarsi all’interno dei sistemi operativi Windows, ed è soprannominato Duqu perché crea dei file con prefisso DQ. Si tratta verosimilmente di un Trojan di accesso remoto che non si auto-replica, ma è comunque in grado di installare un altro info-stealer capace di rubare ulteriori informazioni dal sistema. Per ora i primi malware sono stati trovati sui sistemi di sette/otto società con sede in Europa, ma l’identità delle aziende non è ancora stata rivelata da Symantec poiché vuole ovviamente anzitutto proteggere la privacy e la sicurezza dei propri clienti.
Con ogni probabilità i responsabili sono gli stessi sviluppatori di Stuxnet, o comunque qualcuno con accesso al codice del virus. Secondo Symantec, infatti, Duqu condivide una grande quantità di codici con Stuxnet, anche se presenta un payload completamente diverso. Non è ancora chiaro come abbia fatto Duqu a penetrare nei computer: potrebbe trattarsi di ingegneria sociale, come la posta elettronica dai contenuti malevoli oppure collegamenti Web collegati direttamente al malware.
Duqu utilizza anche un server command-and-control in grado di scaricare e caricare quelli che sembrano semplici file JPG, ma che in realtà potrebbe servire per inviare i dati crittografati. Il malware è stato programmato per rimuoversi automaticamente dal sistema dopo 36 giorni dal suo arrivo. Molti esperti del settore sono preoccupati per una possibile emulazione del virus Stuxnet, anche perché il target di questi virus rimane lo stesso: i sistemi delle infrastrutture critiche come impianti energetici o aziende di telecomunicazione, la cui eventuale interruzione avrebbe effetti a dir poco devastanti.