Gauss

Babbage's Difference EngineLa famiglia dei malware creati ad arte per portare attacchi mirati saluta Gauss (Trojan.Win32.Gauss), l’ultimo arrivato del gruppo.

Gauss è stato realizzato sulla stessa piattaforma di Flame e condivide con Stuxnet (edizione 2010) il modulo di propagazione via USB.

Questo malware è stato realizzato a metà del 2011, rilasciato pochi mesi dopo ed è stato identificato come tale nel giugno del 2012.

Leggi tutto “Gauss”

Flame[r]

Il MAHER ha annunciato di aver scoperto un nuovo tipo di malware che avrebbe preso di mira alcuni Paesi dell Medio Oriente.

La scoperta è supportata dalla notizia che i laboratori di Kaspersky sono stati contattati dall’ITU per identificare un malware fino ad allora sconosciuto.

L’analisi del malware è appena all’inizio e richiederà molto tempo dal momento che quando è completamente installato raggiunge la dimensione di 20 Mb. Queste sono le caratteristiche note fin’ora:

  • si propaga attraverso supporti rimovibili (chiavette) oppure via rete sui computer in LAN;
  • eseguire analisi di rete quali sniffing, enumerazione delle risorse e raccolta di password vulnerabili;
  • analisi del disco rigido del computer infatto per cercare file con determinate estensioni o contenuti;
  • analisi dei dispositivi raggiungibili via bluetooth;
  • possibilità di catturare il contenuto dello schermo se sono attivi determinati processi;
  • registrazione dell’audio ambientale tramite il microfono del PC;
  • comunicare via https o ssh i dati raccolti ai C&C localizzati su oltre dieci nomi a dominio diversi;
  • possibilità di scaricare ulteriori moduli dal C&C;
  • capacità di identificare e bypassare moltissimi sistemi antivirus, antispyware o antimalware;
  • capacità di infettare XP, Vista e 7;
  • utilizzo di file ~xxxxxxx.TMP per nascondersi (esattamente come Stuxnet e Duqu).

Leggi tutto “Flame[r]”

Analisi accurata di STUXNET

Questa pagina contiene un video di un’oretta in cui Ralph Langner espone la prova inconfutabile che STUXNET sia stato fatto per colpire le installazioni iraniane.

La presentazione si basa sul payload di STUXNET che il team di Langner ha isolato, decrittato, decompilato, decodificato e, infine, correlato con il presunto obiettivo del malware.

Le operazioni sono state complicate dal fatto che parte del materiale su cui opera STUXNET è classificato.

Il risultato, comunque è notevole: grazie anche alle foto propagandistiche del sito Internet del presidente iraniano è stato possibile dimostrare che STUXNET è stato realizzato espressamente per colpire quell’installazione.

Due note di colore: il numero 6 sembra essere molto ricorrente nel codice di STUXNET e spesso la voce di Langner ricorda molto quella di Londo Mollari 🙂

Duqu: il ritorno di Stuxnet

Come in ogni b-movie che si rispetti, il cattivo non è mai morto, anche se l’abbiamo visto esplodere in mille pezzi.

Stuxnet, il malware che modifica la programmazione dei PLC Siemens, sembrava finalmente debellato, quando ecco comparire Duqu, il cui nome deriva dall’estensione ~DQ dei file creati dal malware.

Symantec ha analizzato Duqu e sembrerebbe che sia una variante di Stuxnet. Questa variante, però, è stata creata partendo dai sorgenti di Stuxnet, non dalla versione compilata, che è reperibile da molte fonti. Quindi chi ha creato Duqu o è qualcuno che ha (avuto) accesso ai sorgenti di Stuxnet oppure è lo stesso gruppo che ha creato Stuxnet. Il che non significa che dietro Duqu ci sa necessariamente qualche governo, in quanto non è dato sapere chi abbia sviluppato Stuxnet (possiamo solamente presumere chi siano i committenti).

Per il momento Duqu non fa nulla, non va a cercare PLC o altri sistemi di controllo industriale, ma sembra che si limiti ad un’attività di ricognizione e di installazione di un sistema di controllo remoto.

Aggiornamento 21/10/2011 06:30Secondo Joel Langill Duqu sarebbe stato creato partendo della decompilazione di Stuxnet eseguita da Amr Thabet lo scorso gennaio.

 

Stuxnet e la protezione dei sistemi industriali

Stuxnet è un malware molto anomalo. Si propaga con i sistemi standard dei worm, ma non invia spam, non cancella i file, non inserisce il nome della ex nel sistema… Stuxnet è stato creato per assumere il controllo di alcuni sistemi SCADA e, opzionalmente per riprogrammare i PLC.

Controllo siluri / Torpedo consoleStuxnet è un malware molto anomalo.

Si propaga con i sistemi standard dei worm, ma non invia spam, non cancella i file, non inserisce il nome della ex nel sistema… Stuxnet è stato creato per assumere il controllo di alcuni sistemi SCADA e, opzionalmente per riprogrammare i PLC. Leggi tutto “Stuxnet e la protezione dei sistemi industriali”