Accanto alle nuove, sofisticate cyber-minacce nate in seno agli apparati governativi più progrediti, nel moderno scenario della sicurezza informatica c’è posto anche per i virus e malware “classici” – o che alle tecniche divenute in qualche modo classiche si rifanno. Uno di questi malware si chiama MiniDuke, e Kaspersky ne ha analizzato le bizzarre peculiarità in uno studio testé pubblicato.
MiniDuke è una backdoor scritta in linguaggio Assembly, spiega la società di sicurezza moscovita, che impiega tecniche estremamente sofisticate per infettare il sistema e restare in attesa (su Twitter o Google Search) per la distribuzione di eventuali aggiornamenti da parte degli ignoti autori della minaccia.
La classicità del malware sta nell’uso di codice popolarizzato dalla e-zine 29A , storico “foglio” di hacker e malware writer distribuito a partire dalla seconda metà degli anni ’90. La natura “non professionale” del codice sarebbe provata anche dalla presenza, all’interno del codice, di riferimenti alla Bibbia (il Numero della Bestia, o 666) e alla Divina Commedia di Dante Alighieri.
Accanto alla sua natura classica, però, MiniDuke ha una seconda natura : il malware viene distribuito sotto forma di e-mail di phishing contenenti informazioni false ma estremamente rilevanti rispetto alla vittima da infettare, e l’exploit fa uso di una pericolosa vulnerabilità in Adobe Reader recentemente scovata e già chiusa dalla software house statunitense.
Parecchio “moderno” anche il metodo di aggiornamento remoto del malware, tramite l’impiego di un popolare social network (Twitter) e del motore di ricerca web più usato (Google). Anche le vittime della minaccia sono rilevanti nel moderno panorama della sicurezza IT, visto che MiniDuke è stato individuato sui sistemi di almeno 60 vittime in 23 diversi paesi incluse agenzie governative, ONG, attivisti dei diritti umani.
Chi tira i fili del “classicheggiante” malware classificato come MiniDuke? Kaspersky non ha (ancora) indicato i potenziali responsabili, e le caratteristiche che più balzano all’occhio – i riferimenti biblici, l’uso dell’Assembly, la distribuzione di update tramite tecniche di steganografia via Google e Twitter – rendono la minaccia “bizzarra” in periodo di cyber-armi e “anonimi” (nonché estremamente professionali) malware di stato.
Alfonso Maruccia