1

Duqu: la reencarnación de Stuxnet

Duqu un viejo conocido

Esta amenaza tiene un gran parecido con el gusano Stuxnet que saltó a la fama a finales de 2010, después de haber sido utilizado para sabotear el programa nuclear iraní.

Puede resultar casi irónico, pero al redactar esta noticia recuerdo al menos una docena de caras que conozco, que van a transformarse y van a preocuparse mucho.
Esta vez, sin embargo, el componente principal del programa malicioso Duqu es un controlador de rootkit, un archivo que protege a otros tipos de malware contra los mecanismos de defensa del sistema operativo o incluso del propio antivirus. El código del rootkit es muy similar al identificado en Stuxnet hace más de un año, y a juzgar por la primera impresión, uno podría imaginar que los responsables de Stuxnet están de vuelta con una herramienta más para terminar lo que empezaron en el 2010.
Sin embargo, un aspecto menos conocido es que el rootkit de Stuxnet ha sido víctima de ingeniería inversa y ha sido publicado en Internet. Es cierto que el código liberado todavía necesita algunos ajustes, pero un creador de malware experimentado podría utilizarlo como inspiración para sus propios proyectos. Creemos que el equipo detrás del incidente Duqu no está relacionado con el que publicó Stuxnet en 2010, por una serie de razones:
1. El propósito de esta nueva amenaza es diferente. Mientras que Stuxnet se ha utilizado para el sabotaje militar, Duqu no busca más que recopilar información de los sistemas en peligro y debe ser considerado como un keylogger (ladrón de contraseñas)sofisticado. Dado que las bandas criminales rara vez cambian su especialidad principal, nos inclinamos a decir que una banda que se centró en el sabotaje militar no cambiaría su enfoque para atacar a empresas civiles.
2. La reutilización del código es una mala práctica en la industria, sobre todo cuando este código ha sido empleado en amenazas “legendarias” como Stuxnet. Por ahora, todos los fabricantes de antivirus han desarrollado heurísticas fuertes (detección por comportamiento) y otras rutinas de detección de la industria contra amenazas conocidas e importantes como Stuxnet o Conficker. Cualquier variante de estos códigos es probable que termine siendo detectado por esas rutinas de detección.
En todo caso, aunque el responsable de este malware es probable que no sea el mismo que quien creó Stuxnet, los usuarios deben extremar las precauciones y mantener instalada y actualizada una solución de seguridad para su ordenador.
Si Usted es el CSO o CISO de una organizzación, realice un malware radar, con una herramienta que no sea la que usa, y no se sorprenda por los resultados, hay muchos antivirus de mercado que son muy malos y dejan pasar muchas amenazas y otras veces son los mismos usuarios quienes son “VIRUS FRIENDLY” por sus conductas poco lógicas en un equipo conectado a una red corporativa.
La nueva amenaza, Rootkit.Duqu.A comparte multitud de características con el gusano Stuxnet que se utilizó en septiembre de 2010 para comprometer el programa nuclear iraní.
Rootkit.Duqu.A se basa en tecnología relativamente antigua pero la infección puede llevar a sufrir robo de información, pérdida de propiedad intelectual y otros riesgos asociados a la presencia de un keylogger.
“Aunque el rootkit Duqu ha sido atribuido a la banda de Stuxnet, creemos que las dos amenazas no están completamente relacionadas”, ha apuntado Catalin Cosoi, jefe del laboratorio de amenazas online de Bitdefender. “Stuxnet ha sido revertido mediante ingeniería con éxito y su código se publicó online a principios de este año. Ahora, Stuxnet está sirviendo de inspiración a otras bandas cibercriminales. Ese código está sirviendo como un recurso abierto para la comunidad de virus y está sumando millones de dólares en valor a la I+D de la comunidad de virus”.
Puede descargar la aplicación en el siguiente enlace:
http://www.duquremoval.com/en.html?country=es

Adolfo Manaure

Entusiasta seguidor de la tecnología y las innovaciones que cambian el mundo. Director Editorial y COO en The HAP Group.