Torna l’incubo di un malware in grado di prendere il controllo delle infrastrutture critiche, in particolare quelle militari e industriali. Il nuovo worm individuato da Symantec si chiama Duqu e attacca i sistemi operativi Windows con un funzionamento simile a Stuxnet, il virus che nel 2009 ha sabotato un impianto nucleare in Iran.
Secondo la nota software house, Duqu condivide diverse parti di codice con Stuxnet, per cui si suppone che sia opera dello stesso autore. In questo caso però il target non sono gli impianti nucleari o militari, ma le aziende alle quali potrebbero essere sottratte informazioni riservate e segreti industriali.
Finora Duqu è stato individuato sui sistemi informatici di sette/otto aziende europee, ma Symantec per ovvie ragioni non ha comunicato i loro nomi. A differenza di Stuxnet, questo worm non contiene codice relativo ai sistemi di controllo industriali, è un trojan di accesso remoto e non si auto replica. Duqu sfrutta i protocolli HTTP e HTTPS per comunicare con un server command-and-control, dal quale scarica ulteriore codice eseguibile utilizzato per registrare varie informazioni, tra cui gli indirizzi di rete e i tasti premuti sulla tastiera, che poi vengono memorizzati in un file locale criptato.
Il malware è stato progettato per rimanere in esecuzione per 36 giorni, al termine dei quali rimuoverà se stesso dal sistema. Symantec e numerosi esperti del settore sono molto preoccupati della proliferazione di questo genere di attacchi: in futuro potrebbero arrivare worm più pericolosi e difficili da individuare, prima che possano prendere il controllo di infrastrutture sensibili, come le reti di telecomunicazione o le centrali di produzione dell’energia elettrica.
