La empresa de seguridad Symantec ha advertido sobre un nuevo tipo de ataque parecido al de Stuxnet y que ha sido bautizado como Duqu
Stuxnet causó estragos en el programa nuclear de Irán, aunque ahora parece que el propósito de este nuevo ataque es diferente: robar información de los controles industriales en lugar de sabotearlos.
El propósito del malware, es recopilar datos y activos, como documentos de diseño de los fabricantes de sistemas de control industrial. Esa información podría ayudar a un atacante a crear una ofensiva contra una fábrica. Es posible que los hackers que hay detrás de Duqu estén utilizando variantes para otro tipo de organizaciones.
Utilizando un protocolo personalizado sobre HTTP o HTTPS, Duqu se comunica con el servidor de comando y control para descargar ejecutables, como malware capaces de grabar las teclas pulsadas en el teclado y otra información sensible para preparar futuros ataques.
A pesar de compartir el código de Stuxnet, la carga es totalmente diferente a Stuxnet. “En lugar de una carga útil diseñado para sabotear un sistema de control industrial, la carga ha sido reemplazado con el general de acceso remoto. Los creadores de Duqu tienen acceso al código fuente de Stuxnet, y no sólo los binarios de Stuxnet”, advierte Symatec.
> ¿Stuxnet 2.0?
Investigadores encontraron evidencia de que el virus informático Stuxnet, que alarmó a varios gobiernos en 2010, podría estar regenerándose. Aseguran que Duqu, un nuevo virus, es el precursor de futuros ataques al estilo de Stuxnet.
Partes de Duqu son casi idénticas al Stuxnet, pero con un objetivo totalmente diferente, indicó la empresa de seguridad informática que lo descubrió, Symantec.
‘El propósito de Duqu es recopilar información de inteligencia y de los activos de entidades como fábricas de sistemas de control industrial para ejecutar más fácilmente ataques contra terceras partes en el futuro’, señaló la compañía en su .
En otras palabras, Duqu no está diseñado para atacar sistemas industriales, como sucedió con Stuxnet y las instalaciones nucleares iraníes, sino para reunir información de inteligencia con miras a un ataque futuro. De acuerdo con Symantec, los atacantes están buscando información como documentos de diseño que podrían ayudarlos a organizar un atraque.
En febrero de 2011, la empresa confirmó que un poderoso gusano malicioso, el Stunext, atacó durante 10 meses cinco instalaciones industriales en Irán
> Descubrimiento
‘La amenaza fue escrita por los mismos autores (o quienes tienen acceso al código fuente de Stuxnet) y pareciera que fue creado desde que el último archivo de Stuxnet fue recuperado’, indicó Symantec.
‘Un laboratorio con fuertes conexiones internacionales nos alertó sobre una muestra que es muy similar al Stuxnet. Ellos lo llamaron la amenaza ‘Duqu’ porque crea archivos con el prefijo ‘~DQ’. El laboratorio nos dio muestras que recuperaron de los sistemas informáticos localizados en Europa, así como también un informe detallado con sus hallazgos iniciales, incluyendo un análisis comparativo con Stuxnet, el cual nosotros confirmamos’, informó la compañía en su blog.
Aún se desconocen los creadores de Stuxnet, pero algunas voces han dirigido sus sospechas a los gobiernos de Israel y Estados Unidos.
‘A diferencia de Stuxnet, Duqu no contiene ningún código relacionado con sistemas de control industrial y no se replica a sí mismo’, señaló Symantec.
Secur-IT @C.R.S. 