Duqu: Stuxnet ha regresado

Escrito por marcelo_lozano el . Posteado en ANÁLISIS, Aplicaciones, Seguridad

Compartir!

ALERTA DE SEGURIDAD


Esta amenaza tiene un gran parecido con el gusano Stuxnet que saltó a la fama a finales de 2010, después de haber sido utilizado para sabotear el programa nuclear iraní.

Puede resultar casi irónico, pero al redactar esta noticia recuerdo al menos una docena de caras que conozco, que van a transformarse y van a preocuparse mucho.

Esta vez, sin embargo, el componente principal del programa malicioso Duqu es un controlador de rootkit, un archivo que protege a otros tipos de malware contra los mecanismos de defensa del sistema operativo o incluso del propio antivirus. El código del rootkit es muy similar al identificado en Stuxnet hace más de un año, y a juzgar por la primera impresión, uno podría imaginar que los responsables de Stuxnet están de vuelta con una herramienta más para terminar lo que empezaron en el 2010.
Sin embargo, un aspecto menos conocido es que el rootkit de Stuxnet ha sido víctima de ingeniería inversa y ha sido publicado en Internet. Es cierto que el código liberado todavía necesita algunos ajustes, pero un creador de malware experimentado podría utilizarlo como inspiración para sus propios proyectos. Creemos que el equipo detrás del incidente Duqu no está relacionado con el que publicó Stuxnet en 2010, por una serie de razones:

1. El propósito de esta nueva amenaza es diferente. Mientras que Stuxnet se ha utilizado para el sabotaje militar, Duqu no busca más que recopilar información de los sistemas en peligro y debe ser considerado como un keylogger (ladrón de contraseñas)sofisticado. Dado que las bandas criminales rara vez cambian su especialidad principal, nos inclinamos a decir que una banda que se centró en el sabotaje militar no cambiaría su enfoque para atacar a empresas civiles.

2. La reutilización del código es una mala práctica en la industria, sobre todo cuando este código ha sido empleado en amenazas “legendarias” como Stuxnet. Por ahora, todos los fabricantes de antivirus han desarrollado heurísticas fuertes (detección por comportamiento) y otras rutinas de detección de la industria contra amenazas conocidas e importantes como Stuxnet o Conficker. Cualquier variante de estos códigos es probable que termine siendo detectado por esas rutinas de detección.

En todo caso, aunque el responsable de este malware es probable que no sea el mismo que quien creó Stuxnet, los usuarios deben extremar las precauciones y mantener instalada y actualizada una solución de seguridad para su ordenador.

Si Usted es el CSO o CISO de una organizzación, realice un malware radar, con una herramienta que no sea la que usa, y no se sorprenda por los resultados, hay muchos antivirus de mercado que son muy malos y dejan pasar muchas amenazas y otras veces son los mismos usuarios quienes son “VIRUS FRIENDLY” por sus conductas poco lógicas en un equipo conectado a una red corporativa.

Compartir!

Etiquetas:, , , , , ,

Síguenos en Facebook!

TWITTER