[UPDATE] Kaspersky: gli autori di Duqu hanno iniziato quattro anni fa
Il 14 ottobre 2011, un laboratorio di ricerca ha segnalato a Symantec un virus che sembrava essere molto simile a Stuxnet. Hanno chiamato la minaccia ” Duqu “[DYU-kyu] perché crea i file con il prefisso del nome del file” ~ DQ “. Parti di Duqu sono quasi identiche a Stuxnet, ma con uno scopo completamente diverso.
Lo scopo di Duqu è quello di raccogliere dati e informazioni da produttori di sistemi di controllo industriale, al fine di condurre più facilmente un futuro attacco contro terzi. Gli aggressori sono alla ricerca di informazioni, quali documenti di progettazione che potrebbero aiutarli a sferrare un attacco futuro su una struttura di controllo industriale.
Duqu non contiene codice relativo a sistemi di controllo industriale (come Stuxnet) ma è sopratutto un Trojan per l’accesso remoto. La minaccia non si autoreplica e l’attacco è mirato verso un numero limitato di organizzazioni per la loro specifiche attività.
Microsoft sta studiando la vulnerabilità che si trova nella gestione dei caratteri TrueType in tutte le versioni di Windows. Un utente malintenzionato che sfrutti questa vulnerabilità potrebbe eseguire codice arbitrario in modalità kernel.
L’utente malintenzionato potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. La vulnerabilità non può attaccare automaticamente attraverso un e-mail. Affinché l’attacco abbia successo, un utente deve aprire manualmente l’allegato mandato con il messaggio e-mail.
Vista la pericolosità della minaccia, Microsoft ha deciso di pubblicare un aggiornamento temporaneo, in attesa del rilascio di una patch definitiva, installatela utilizzando il fix scaricabile cliccando qui. Gli amministratori di rete potrebbero voler installare l’aggiornamento su quei sistemi che sono più a rischio oppure che contengono dati sensibili adottando così una misura cautelativa prima del rilascio della patch ufficiale.