Duqu 2.0 è il nome che è stato dato al malware che ha attaccato Kaspersky. Pochi i danni riscontrati e ancora ignote le ragioni che hanno spinto gli hacker ad attaccare l’azienda. Ne ha parlato Eugene Kaspersky (nella foto), a capo dell’omonima società, nel corso di una conferenza stampa che si è svolta a Londra. Kaspersky ha esposto solo ipotesi sulle ragioni dell’attacco malware, soprannominato “Duqu 2.0” con un riferimento a “Duqu” del 2011, che a sua volta si riteneva essere un discendente del famigerato Stuxnet.

Non erano interessati ai nostri clienti”, ha detto il CEO, dopo aver affermato che l’intrusione non sembra aver toccato alcuna informazione relativa a clienti o partner. “Sono abbastanza sicuro che stavano solo guardando”. Gli hacker hanno agito indisturbati per mesi sulla rete di Kaspersky, e l’ipotesi è che stessero facendo un’operazione di ricognizione e ricerca, nella speranza di saperne di più sulla tecnologia di sicurezza di Kaspersky per scoprire, in particolare, come i ricercatori decidono quale malware esaminare manualmente.

La stragrande maggioranza del malware che Kaspersky, e ogni grande azienda antivirus, raccoglie viene elaborata, valutata e classificata da sistemi automatizzati. L’intervento umano avviene solo in caso di codice sufficientemente interessante e che si distingue da tutto il resto. Ovviamente per gli hacker sarebbe un’informazione preziosa capire come i ricercatori prendono la decisione di valutare da vicino un pezzo di malware, perché questo permetterebbe loro di scrivere codice maligno che passa inosservato e supera le difese di sicurezza.

Eugene Kaspersky ha escluso che la presenza degli hacker all’interno della rete della sua azienda possa aver dato loro indizi reali circa le tecnologie del fornitore, anche nell’ipotesi che avessero ottenuto il codice sorgente, cosa che che non è avvenuta.

Queste tecnologie vengono rapidamente superate e vengono costantemente applicate modifiche”, ha sottolineato Kaspersky. “Forse erano interessati ad alcuni specifici attacchi a cui stavamo lavorando. O forse volevano vedere se eravamo in grado di scoprirli”.

In un lungo post sul blog su Forbes, Kaspersky ha aggiunto altri dettagli. “Mi vengono in mente diversi motivi per cui qualcuno potrebbe voler cercare di rubare i nostri dati tecnici, ma nessuno di essi sembra valere il rischio di essere scoperti”, ha scritto Kaspersky. Ed è esattamente ciò che è successo.

Ora sappiamo come trattare una nuova generazione di minacce”, ha scritto Kaspersky. “E gli aggressori sono punto e a capo da quando abbiamo esposto la loro piattaforma all’intero settore della sicurezza IT. Considerazioni morali a parte, non è certo un buon rendimento per l’investimento di soldi pubblici”.

Quest’ultima affermazione fa riferimento alla tesi di Kaspersky che Duqu 2.0 sia stato creato da un gruppo di hacker sponsorizzato da un governo. Il malware, secondo Kaspersky, è sicuramente di ottimo livello, è in grado di scambiare uno zero-day per un altro e utilizza nuove tecniche di segnalazione e non-persistenza.

Diversamente dalla maggior parte del malware, Duqu 2.0 risiede quasi esclusivamente nella memoria, il che rende difficile la sua rilevazione da parte del software di sicurezza. Il che ha portato Eugene Kaspersky a dare un suggerimento originale ma efficace su come liberare una rete dal malware. “Tecnicamente, è semplice: basta togliere l’alimentazione e il sistema è pulito”.