Llamó mucho mi atención la nueva oleada de posts y publicaciones acerca del “nuevo Stuxnet, el hijo de Stuxnet o Stuxnet 2.0” mejor conocido como “Duqu”, llamado así por crear archivos con el prefijo “~DQ”.
El primero (Stuxnet) fue un tipo de malware que tenía como objetivo sabotear los sistemas encargados de las instalaciones nucleares iraníes en el 2010, el segundo es lo que los expertos denominan una versión mejorada de la anterior, esto conforme a sus formas de invasión, además de cambiar su objetivo. Quizás se trate del mismo o los mismos programadores, por la estructura del código a la cual pudieron a ver tenido acceso.
Los investigadores que recolectaron evidencias de Duqu en Europa, enviaron estas muestras a los laboratorios de Symantec (14 de octubre) acompañadas de un análisis que confirmaba la similitud que existía con Stuxnet.
El propósito de Duqu, a juzgar por las declaraciones de los expertos, es recabar información industrial en las instalaciones de los sistemas objetivo, -¿y cuáles son estos?- al parecer no es algún nombre en especifico pero si son más de uno. Asimismo instalar programas troyanos que permitan el acceso remoto para perpetrar algún ataque o manipular sistemas con fines desconocidos.
Esta amenaza cibernética no se replica a sí misma como un virus a los demás sistemas, especifica ciertas organizaciones con el objetivo ya mencionado. Los atacantes que utilizan Duqu depositan pequeños programas que registran y graban lo que te teclea un administrador o usuario del sistema (nombres y contraseñas) para conseguir un nivel de acceso con jerarquía más alta o saltar a otro modulo de control del mismo. A través del análisis de los archivos de muestra en unas de sus variantes de Duqu, se pudieron percatar que probablemente pudo haber empezado a operar este malware desde principios de diciembre de 2010.
Es a través de comunicaciones cifradas y no cifradas mediante HTTP por el cual Duqu apoyado en un protocolo “personalizado” brinda control remoto para el envió y recepción de la información recolectada (guardada, comprimida y cifrada) en archivos JPG además de estar configurado para ejecutarse en el objetivo durante 36 días y después eliminarse a sí mismo.
Otro dato muy importante es que también han utilizado Duqu para obtener llaves o firmas de entidades las cuales pueden otorgar un certificado digital a nombre de alguna firma importante, tal situación le sucedió al mismo Symantec. Para ello se necesita revocar el certificado e invalidarlo (si se dan cuenta de haber sido suplantado).
Algo que no he escuchado mencionar, es acerca del hacker Comodo, quien publico pruebas de haber ingresado en empresas certificadoras y aseguro pronto sabríamos más de sus hazañas ¿serán casos aislados o muy relacionados?.
+Info symantec.com
No hay comentarios.:
Publicar un comentario