Alfonso Maruccia

MiniDuke, vecchia scuola per nuove minacce

Kaspersky pubblica i dettagli (parziali) di un nuovo pericolo informatico, un malware che ingloba tecniche di programmazione divenute celebri nel passato ma Ŕ ben calato nel presente. E attacca governi, istituzioni, ONG

Roma - Accanto alle nuove, sofisticate cyber-minacce nate in seno agli apparati governativi più progrediti, nel moderno scenario della sicurezza informatica c'è posto anche per i virus e malware "classici" - o che alle tecniche divenute in qualche modo classiche si rifanno. Uno di questi malware si chiama MiniDuke, e Kaspersky ne ha analizzato le bizzarre peculiarità in uno studio testé pubblicato.

MiniDuke è una backdoor scritta in linguaggio Assembly, spiega la società di sicurezza moscovita, che impiega tecniche estremamente sofisticate per infettare il sistema e restare in attesa (su Twitter o Google Search) per la distribuzione di eventuali aggiornamenti da parte degli ignoti autori della minaccia.

La classicità del malware sta nell'uso di codice popolarizzato dalla e-zine 29A, storico "foglio" di hacker e malware writer distribuito a partire dalla seconda metà degli anni '90. La natura "non professionale" del codice sarebbe provata anche dalla presenza, all'interno del codice, di riferimenti alla Bibbia (il Numero della Bestia, o 666) e alla Divina Commedia di Dante Alighieri.
Accanto alla sua natura classica, però, MiniDuke ha una seconda natura: il malware viene distribuito sotto forma di e-mail di phishing contenenti informazioni false ma estremamente rilevanti rispetto alla vittima da infettare, e l'exploit fa uso di una pericolosa vulnerabilità in Adobe Reader recentemente scovata e già chiusa dalla software house statunitense.

Parecchio "moderno" anche il metodo di aggiornamento remoto del malware, tramite l'impiego di un popolare social network (Twitter) e del motore di ricerca web più usato (Google). Anche le vittime della minaccia sono rilevanti nel moderno panorama della sicurezza IT, visto che MiniDuke è stato individuato sui sistemi di almeno 60 vittime in 23 diversi paesi incluse agenzie governative, ONG, attivisti dei diritti umani.

Chi tira i fili del "classicheggiante" malware classificato come MiniDuke? Kaspersky non ha (ancora) indicato i potenziali responsabili, e le caratteristiche che più balzano all'occhio - i riferimenti biblici, l'uso dell'Assembly, la distribuzione di update tramite tecniche di steganografia via Google e Twitter - rendono la minaccia "bizzarra" in periodo di cyber-armi e "anonimi" (nonché estremamente professionali) malware di stato.

Alfonso Maruccia
Notizie collegate
  • SicurezzaAdobe Reader col bucoIl popolare lettore di file PDF affetto da una vulnerabilitÓ zero-day giÓ attivamente sfruttata dai cyber-criminali. L'azienda ammette il problema e dice di essere al lavoro per correggerlo
  • SicurezzaSicurezza, cerotti per tuttiOracle, Adobe e Apple distribuiscono aggiornamenti per tappare bachi e falle presenti nei rispettivi prodotti. Nel caso di Apple l'update non annulla il jailbreaking dell'ultima versione di iOS
  • AttualitàStuxnet, le originiIl primo "campione" del malware risalirebbe addirittura al 2005. Il programma di sabotaggio dei programmi nucleari iraniani durerebbe da quasi 10 anni. Symantec riscrive la storia della cyber-guerra?
3 Commenti alla Notizia MiniDuke, vecchia scuola per nuove minacce
Ordina