Kaspersky Lab.- Duqu es un programa nocivo de última generación que tiene la capacidad de adaptarse a cada sistema que ataca penetrando fácilmente sus barreras de seguridad para brindar control total a los ciber delincuentes. Expertos de Kaspersky Lab han encontrado que el Duqu tiene una estructura similar al virus Stuxnet que afectó plantas industriales en Irán pero con un código significativamente mejorado.
Dmitry Bestuzhev, director del equipo de análisis e investigación global para América Latina, indica que los criminales se han tomado todo el tiempo necesario para trabajar en la evasión de la detección por parte de los anti-virus. Como un misil El virus ha conseguido infectar países con programas nucleares y de otra índole industrial. “Ha llegado a penetrar los sistemas más críticos de ciertos países.
El malware brinda control remoto no autorizado a quienes están detrás del ataque, permitiéndoles extraer la información confidencial, gubernamental o hasta militar”, afirma Bestuzhev, quien destaca que con esa información los atacantes podrían poner en peligro la vida de los civiles.
Duqu es un arma cibernética maestra desarrollada para ser utilizada a corto, mediano y largo plazo para atacar cualquier tipo de infraestructura de acuerdo a las necesidades presentadas. “El Duqu demuestra que el desarrollo de los armas cibernéticas está en marcha.
El Stuxnet fue un arma muy específica para un objetivo específico pero el Duqu tiene desarrollado todo un sistema universal para atacar y espiar cualquier objetivo. Su infraestructura indica que ha sido creado para atacar países. Es una especie de misil que es capaz de hacer llegar cualquier tipo de explosivo hacia cualquier tipo de objetivo”, explicó el experto.
El virus funciona como una puerta trasera en el sistema infectado para permitir el robo de información confidencial de forma silenciosa y al mismo tiempo recibir nuevos comandos y directivas de lo que debe hacer, incluyendo actos de sabotaje si es que los ciber delincuentes lo consideraran necesario. Latinoamérica no se encuentra preparada para los ataques dirigidos del Duqu, según indica Bestuzhev.
Considera que los cibercriminales que controlan el virus podrían comprometer las estructuras regionales fácilmente y recomienda que los gobiernos y las empresas de la región tomen las medidas necesarias e indispensables. Primeros ataques Cuatro instancias de infección han sido detectadas por el sistema Kaspersky Security Network, que funciona "en la nube". Una de las variantes conducía a un usuario en Sudán y las otras tres estaban ubicadas en Irán. Cada una de las cuatro instancias de Duqu tenía una modificación propia de un controlador diferente usado para la infección.
En una de las infecciones localizadas en Irán también se descubrieron dos ataques de red que explotaban la vulnerabilidad MS08-067. Stuxnet y otro programa nocivo más antiguo, Kido, también usaban esta vulnerabilidad.
El Duqu también aprovecha una flaqueza de día-0 en el kernel de Windows y relacionada con la fuente True Type para instalarse. Recientes investigaciones han encontrado que el ataque inicial tuvo lugar a través de un documento de Word enviado como archivo adjunto a través de un correo electrónico. Los elementos principales del Duqu se instalan automáticamente cuando la víctima abre el documento.
También se dio a conocer que el virus es capaz de infectar los ordenadores que no están conectados a Internet, sino sólo a una red local. “Duqu tiene la propagación a través de las redes corporativas y en particular las tareas programadas. Este hecho muestra que los que están detrás buscan conseguir acceso a las máquinas no de los usuarios finales sino corporaciones, empresas y gobiernos.
Los objetivos a infectar son cuidadosamente seleccionados y trabajados una vez que se llega a tener acceso a un equipo que sería el inicial”, explicó Bestuzhev. Alexander Góstev, Jefe Experto en Seguridad en Kaspersky Lab, señaló: "A pesar de que los sistemas atacados por Duqu están en Irán, hasta el momento no hay evidencia de que sean sistemas industriales o relacionados con el programa nuclear de este país.
Por lo tanto, es imposible afirmar que el blanco del nuevo programa malicioso es el mismo que el de Stuxnet. De todos modos, está claro que cada infección causada por Duqu es única. Esta información nos permite decir con seguridad que se está usando Duqu para lanzar ataques a objetos predeterminados". Los expertos de Kaspersky Lab continúan investigando el Duqu y están monitoreando la situación constantemente para poder anticipar la geografía de los blancos, lo cual aún no ha podido definirse debido a que el virus ha infectado un número reducido de sistemas muy específicos en todo el mundo.
Características del Duqu: - Cada una de sus modificaciones tiene controladores (drivers) usados eran diferentes. - Se han encontrado evidencias de que podrían existir otros elementos de Duqu. Los indicios permiten suponer que los ejemplares activos de este programa nocivo pueden modificarse dependiendo del blanco específico que se pretende atacar.
Fuente: Kaspersky Lab Investigaciones realizadas al Duqu por Kaspersky Lab:
El misterio de Duqu: Parte1 http://www.viruslist.com/sp/weblog?weblogid=208188518
El misterio de Duqu: Parte 2 http://www.viruslist.com/sp/weblog?weblogid=208188522
El misterio del Duqu: Parte 3http://www.viruslist.com/sp/weblog?weblogid=208188527
No hay comentarios:
Publicar un comentario