20 octubre, 2011
Los laboratorios de Symantec anunciaron que apareció un virus muy similar a Stuxnet, hallado en algunos sistemas informáticos europeos y que han decidido bautizar como “Duqu”, debido a que crea archivos con el prefijo “~DQ”. Y algunos de sus fragmentos son muy similares a Stuxnet, pero usados con diferentes fines.
Según Symantec, las muestras que recibieron de un laboratorio de investigación internacional que descubrió el virus indican que Duqu es el precursor de cómo serían los ataques similares a Stuxnet. Y habría sido creado por los mismos autores o por hackers que haya tenido acceso a su código fuente.
“La finalidad de Duqu es recopilar datos de inteligencia y activos de las organizaciones, como el sistema de control industrial de los fabricantes, con el proósito de efectuar más fácilmente un ataque futuro contra terceros. Los atacantes buscan información, como documentos de diseño, que puedan aydarlos a montar un futuro ataque en un centro de control industrial”, indica el reporte de Symantec.
Duqu no contiene ninguna línea de código relacionada con los sistemas de control industrial y es principalmnete un troyano de acceso remoto. Y no se replica por sí solo. El sistema de telemetría de Symantec mostró que la amenaza fue colocada en un número pequeño de organizaciones. Y fue utilizado más que nada para instalar un grabador de pulsaciones de teclado y así acceder a información sensible.
Los sistemas de comunicación usados por Duqu son HTTP y HTTPS para conectarse a un servidor de comando y control, del cual pudieron descargar ejecutables adicionales para realizar acciones como ver el número de nodos de la red, grabar pulsaciones de teclado y reunir información del sistema. Todos esos datos se guardaban en un archivo encriptado y comprimido que podían recuperar.
Symantec concluye el informe indicando que Duqu comparte código con Stuxnet, así que los creadores pudieron acceder al código fuente y no sólo a los binarios. Sólo que en lugar de sabotear un sistema de control industrial, lo que se busca ahora es acceder de manera remota. Y probablemente, se cree con la intención de crear un ataque de dimensiones similares al de Stuxnet.