Duqu, el nuevo software malicioso de la ciberguerra

Fuente: BBCMnudo


Investigadores encontraron evidencia de que el virus informático Stuxnet, que alarmó a varios gobiernos en 2010, podría estar regenerándose. Aseguran que Duqu, un nuevo virus, es el precursor de futuros ataques al estilo de Stuxnet.

Irán confirmó que Stuxnet dañó algunas de sus centrífugas nucleares.

Investigadores encontraron evidencia de que el virus informático Stuxnet, que alarmó a varios gobiernos en 2010, podría estar regenerándose. Aseguran que Duqu, un nuevo virus, es el precursor de futuros ataques al estilo de Stuxnet.

Partes de Duqu son casi idénticas al Stuxnet, pero con un objetivo totalmente diferente, indicó la empresa de seguridad informática que lo descubrió, Symantec.

En otras palabras, Duqu no está diseñado para atacar sistemas industriales, como sucedió con Stuxnet y las instalaciones nucleares iraníes, sino para reunir información de inteligencia con miras a un ataque futuro.

"El propósito de Duqu es recopilar información de inteligencia y de los activos de entidades como fábricas de sistemas de control industrial para ejecutar más fácilmente ataques contra terceras partes en el futuro", señaló la compañía en su clicblog.

De acuerdo con Symantec, los atacantes están buscando información como documentos de diseño que podrían ayudarlos a organizar un atraque.

En febrero de 2011, la empresa confirmó que un poderoso gusano malicioso, el Stunext, atacó durante 10 meses cinco instalaciones industriales en Irán

Descubrimiento

"

Según los expertos, se trata de un código altamente sofisticado.

"La amenaza fue escrita por los mismos autores (o quienes tienen acceso al código fuente de Stuxnet) y pareciera que fue creado desde que el último archivo de Stuxnet fue recuperado", indicó Symantec.

"Un laboratorio con fuertes conexiones internacionales nos alertó sobre una muestra que es muy similar al Stuxnet. Ellos lo llamaron la amenaza 'Duqu' porque crea archivos con el prefijo '~DQ'. El laboratorio nos dio muestras que recuperaron de sistemas informáticos localizados en Europa, así como también un informe detallado con sus hallazgos iniciales, incluyendo un análisis comparativo con Stuxnet, el cual nosotros confirmamos", informó la compañía en su blog.

Aún se desconocen los creadores de Stuxnet, pero algunas voces han dirigido sus sospechas a los gobiernos de Israel y Estados Unidos.

"A diferencia de Stuxnet, Duqu no contiene ningún código relacionado con sistemas de control industrial y no se replica a sí mismo", señaló Symantec.

El código, de acuerdo con la empresa, se encontró en "un limitado número de organizaciones, incluyendo algunas relacionadas con la fabricación de sistemas de control industrial".

Autores

"Esto no es el trabajo de un aficionado, está usando tecnología de punta y eso generalmente significa que ha sido creado por alguien que tiene un propósito en mente", le indicó a la BBC, Greg Day, jefe de la unidad de Tecnología de Symantec.

No está claro si se trata de una acción patrocinada por un estado nación.

"Si se trata del autor de Stuxnet, (Duqu) podría tener el mismo objetivo. Pero si el código le ha sido dado a otra personas, puede ser que tenga otro motivo", señaló Day.

De acuerdo con el funcionario de Symantec, hay "más de una variante" de Duqu.

"Pareciera que (sus creadores) lo están ajustando y afinando en el camino", acotó Day.

El código malicioso se elimina a sí mismo de las computadoras que infecta después de 36 horas, lo que indica que se mantiene más escondido que su predecesor.

Duqu usó un "rompecabezas" de componentes incluyendo un certificado digital de Symantec.

"Nosotros proveemos certificados digitales para validar identidades y este certificado fue robado de un cliente en Taiwán y se volvió a usar", señaló Day.