Il fenomeno Duqu continua a essere parzialmente avvolto dal mistero: il trojan ruba-informazioni, identificato da Symantec e altre società di sicurezza come derivato del famigerato worm anti-nuclearista Stuxnet , compare in luoghi improbabili e impegna gli esperti in una caccia al malware che non conosce sosta.
La security enterprise moscovita Kaspersky, impegnata (come tutte le società concorrenti) ad analizzare il nuovo fenomeno da cima a fondo, dice di aver scovato infezioni riconducibili all’insolito “parassita” in Sudan e in Iran – proprio laddove Stuxnet aveva colpito più forte mettendo fuori gioco o comunque rallentando il piano di arricchimento nucleare messo in atto da Teheran.
Kaspersky è a conoscenza dell’esistenza di diverse varianti di Duqu – con almeno 13 driver di livello kernel sin qui noti – sei delle quali sono in mano agli analisti russi per studi approfonditi. Le infezioni identificate in Iran potrebbero in particolare fornire preziose informazioni sui metodi di diffusione del malware, il quale essendo un trojan non è in grado di passare autonomamente da sistema a sistema.
Nello studiare Duqu anche Kaspersky mette in evidenza il suo essere impiegato per “attacchi mirati contro vittime scelte con cura”, la capacità di mutare a ogni infezione (con checksum e nomi di driver di sistema sempre variabili) e il fatto che i suoi autori sembrano attivamente impegnati a rispondere colpo su colpo alle azioni di contrasto dell’industria antivirale.
Alfonso Maruccia