Duqu 2.0, il ritorno del cyberspionaggio

All’inizio della primavera, Kaspersky ha rilevato un’intrusione nei suoi sistemi interni. Dopo un’approfondita indagine, la software house ha scoperto un nuovo malware simile a quello utilizzato per compiere azioni di cyberspionaggio e sabotaggio contro il programma nucleare iraniano. Per questo motivo, al malware è stato attribuito il nome Duqu 2.0.

L’attacco è stato effettuato mediante nuove tecniche mai utilizzate prima, alcune delle quali sviluppate per non lasciare traccia sui computer delle vittime. Gli ingegneri di Kaspersky hanno invece scoperto che il malware sfrutta tre vulnerabilità zero-day di Windows per ottenere i privilegi di amministratore e diffondersi attraverso la rete LAN. Duqu 2.0 non mantiene nessun file su disco (risiede solo in memoria) e non modifica le impostazioni del sistema operativo, rendendo difficile la sua individuazione.

I computer di Kaspersky non sono stati l’unico bersaglio. Il malware è stato infatti utilizzato per attacchi contro specifici obiettivi nei paesi occidentali, in Medio Oriente e in Asia, in particolare contro i paesi che hanno partecipato ad eventi correlati alle negoziazioni riguardanti il programma nucleare dell’Iran. Proprio per questo motivo, la software house russa ipotizza che i creatori di Duqu 2.0 siano stati finanziati dai governi (Stati Uniti e Israele?).

Ma perché attaccare Kaspersky? Quasi certamente, i cybercriminali volevano rubare informazioni sulle tecnologie di protezione sviluppate dall’azienda russa. I sistemi di intrusion detection hanno però intercettato l’attacco, impedendo al malware di causare danni. Le tre vulnerabilità zero-day di Windows sono state tutte risolte. L’ultima patch (MS15-061) è stata rilasciata da Microsoft il 9 giugno scorso.