1

Duqu: ataques dirigidos a Irán y Sudán

Duqu: ataques dirigidos a Irán y Sudán


Los expertos de Kaspersky Lab continúan con su investigación sobre el nuevo programa malicioso Duqu, que comparte algunas características con el gusano Stuxnet que fuera dirigido instalaciones industriales de producción de uranio enriquecido en Irán.

Aunque aún se desconoce el objetivo final de los creadores de esta nueva amenaza cibernética, lo que está claro es que Duqu ya es una herramienta universal que se utiliza para llevar a cabo ataques dirigidos a un número limitado y puntual de objetivos, y que puede ser modificado en función de la una necesidad especifica.

Varias características de este gusano se dieron a conocer en la primera etapa de análisis de Duqu por especialistas de Kaspersky Lab.

En primer lugar, es necesario descubrir que controladores de que dispositivos son utilizados para infectar los sistemas y han sido cambiados. El conductor puede utilizar una firma digital falsas, o no.

En segundo lugar, resulta evidente que los demás elementos de Duqu probablemente existen, pero aún no se han encontrado. Se supone que el funcionamiento de este programa malicioso podría cambiar en función del objetivo particular debe ser atacado.

La detección de las infecciones son muy pocas (solo una detectada en el momento de la publicación de la primera parte de la investigación de Kaspersky Lab sobre Duqu) es la única cosa que distingue a Duqu de Stuxnet entre las similitudes.

Desde el descubrimiento de las primeras muestras de este programa malicioso, cuatro nuevos casos de infección se han detectado – gracias a la Red de Seguridad Kaspersky basado en la nube. Uno de ellos fue localizado a un usuario en Sudán y los otros tres se encontraban en Irán.

En cada uno de los cuatro casos de infección por Duqu se utilizó una modificación única del controlador para la infección. Es más importante aún, considerar que en una de las infecciones de Irán se encontraron también rastros de que habían existido dos intentos de ataque a la red aprovechando la vulnerabilidad MS08-067.
Recordemos que esta vulnerabilidad era utilizada por Stuxnet también, y por Kido. El primero de los dos intentos de ataque a la red se llevó a cabo el 4 de octubre, y el otro el 16 de octubre, y ambos proceden de una y la misma dirección IP – que pertenece a un proveedor de Internet en EE.UU.
Si hubiera sido sólo un intento de este tipo, que podría haber tomado como actividad típica de Kido – pero hubo dos intentos de ataques consecutivos: este detalle sugiere un ataque dirigido a un objeto en Irán. También es posible que estos ataques fueran utilizados para enmascarar la explotación de otras vulnerabilidades de software.
Al comentar sobre los nuevos hallazgos, Alexander Gostev, jefe de seguridad de Kaspersky Lab, dijo: “A pesar de que la ubicación de los sistemas atacados por Duqu se encuentran en Irán, hasta la fecha no hay evidencia de que sean ataques a instalaciones industriales o al programa nuclear y/o sus sistemas relacionados. Como tal, es imposible confirmar que el objetivo del nuevo programa malicioso es el misma que el que tuvo Stuxnet. Sin embargo, resulta claro que todas las infecciones por Duqu son únicas. Esta información le permite afirmar que Duqu está siendo utilizado para ataques dirigidos a objetivos predeterminados.”

Adolfo Manaure

Entusiasta seguidor de la tecnología y las innovaciones que cambian el mundo. Director Editorial y COO en The HAP Group.