L’ultima versione del malware noto come Duqu mostra che ha usato i certificati digitali del produttore Foxconn Technology Group per mascherare la sua attività.

Lo ha rivelato sul suo blog Kaspersky Lab, che la settimana scorsa aveva pubblicato un report sull’attacco subito da Duqu 2.0. Kaspersky spiega che un driver a 64 bit, all’interno del malware, ha utilizzato un certificato digitale firmato da Hon Hai Precision Industry, conosciuta anche come Foxconn.

I certificati digitali vengono utilizzati per la cifratura dei dati e la verifica della legittimità di siti web e applicazioni. L’utilizzo di un certificato digitale emesso da un’organizzazione autorevole riduce le probabilità che l’applicazione sia riconosciuta come dannosa. Aziende e organizzazioni proteggono accuratamente i propri certificati digitali affinché non cadono nelle mani degli hacker; quando ciò avviene, i certificati devono essere revocati.

Gli hacker che hanno creato Duqu sono considerati tra i più sofisticati gruppi di cyber-spionaggio. Secondo i ricercatori il malware sembra essere correlato a Stuxnet, il worm sviluppato da Stati Uniti e Israele per sabotare il programma nucleare iraniano.

Poco dopo che Duqu fu scoperto, nel 2011, il gruppo che l’ha creato è scomparso. Ma, la scorsa settimana, Kaspersky ha dichiarato di aver trovato una versione più sofisticata di Duqu, progettata per essere eseguita solo nella memoria dei dispositivi e che scompare quando al loro riavvio.

Il driver firmato con il certificato Foxconn permette a Duqu di comunicare con altri server su Internet. Il driver viene installato su firewall e gateway, e in questo modo non lascia traccia sui server proxy aziendali.

Kaspersky ha dichiarato che i propri sistemi sono stati infettati con Duqu 2.0, e ulteriori analisi hanno mostrato che sono stati colpiti anche gli alberghi che hanno ospitato le recenti negoziati sul programma nucleare iraniano.

I creatori di Duqu sembrano essere gli unici ad avere accesso ai certificati digitali, il che in un certo senso è una buona notizia. “Questo esclude la possibilità che i certificati siano stati rubati e utilizzati da più gruppi”, scrive Kaspersky. E porta a rafforzare “la teoria che abbiano attaccato i produttori di hardware, al fine di ottenere questi certificati”.

La scoperta tuttavia mina ampiamente la fiducia che può essere collocata nei certificati digitali”, sottolinea Kaspersky.