Presto potrebbe verificarsi un nuovo caso di cyber-warfare a base di malware come quello scatenato dal worm Stuxnet . La statunitense Symantec dà l’allarme , le altre società di sicurezza seguono a ruota : dai laboratori di ricerca europei arriva la notizia della scoperta di Duqu (o W32.Duqu ), un nuovo sample virale chiaramente derivato da Stuxnet e potenzialmente foriero di futuri attacchi diretti contro i produttori di sistemi di controllo industriali (SCADA).
W32.Duqu è stato scritto partendo dal codice sorgente di Stuxnet, dice Symantec, ma non è progettato per attaccare i sistemi SCADA: piuttosto, il trojan cattura informazioni riservate e le trasferisce a un server remoto, non si replica, evita accuratamente di lasciare tracce della propria presenza e si auto-cancella dopo 36 giorni di “attività” spionistica.
Lo scopo di Duqu è insomma “raccogliere dati di intelligence e asset da entità quali i produttori di sistemi di controllo industriale”, continua Symantec, “così da condurre più facilmente un futuro attacco contro un’azienda terza”.
Le informazioni di cui Duqu e i suoi autori vanno alla caccia (assieme a un componente aggiuntivo scaricato dalla rete attraverso la comunicazione remota con il server di comando&controllo tuttora attivo) comprendono documenti di progettazione che “potrebbero favorire la messa in atto di un futuro attacco contro un apparato di controllo industriale”, dice Symantec.
Duqu non è uno Stuxnet 2 , dunque, rappresentando piuttosto i prodromi di un nuovo caso Stuxnet dai contorni ancora tutti da verificare e che potrebbe, nei fatti, essere già in atto. Stando ai tempi di compilazione dei file binari ottenuti da Symantec, i nuovi sample virali dovrebbero essere in circolazione già dal lontano dicembre 2010.
Alfonso Maruccia