El equipo de Kaspersky Lab ha descubierto que Duqu (un nuevo programa que ataca la infraestructura de seguridad informática) tiene características parecidas al virus Stuxnet, la cual afectó a varias plantas industriales en Irán. Duqu tiene la capacidad de adecuarse a cada sistema que ataca, acción que puede ejecutar penetrando las barreras de seguridad para luego brindar todo el control a los ciber delincuentes.

Los ciber delincuentes se encuentran en la búsqueda constante de nuevas formas de vulnerar la seguridad informática. Y al parecer cada nuevo sistema de ataque es mejor que el anterior, ya que los últimos son más eficientes en la evasión de la detección por parte de los antivirus.

Como un misil

Duqu ha logrado infectar, principalmente, a países que cuentan con programas nucleares. Este nuevo malware brinda control remoto (no autorizado) a las personas que están detrás del ataque, permitiéndoles extraer (robar) toda la información existente en el sistema.

Duqu ha sido desarrollada para atacar cualquier tipo de infraestructura, demostrando el avance y desarrollo de las armas cibernéticas. Este malware cuenta con un sistema universal que le permite atacar y espiar cualquier estructura informática. Pero sus características  indican que ha sido creado, especialmente, para atacar los istemás más importantes de cada países.

“Es una especie de misil que es capaz de hacer llegar cualquier tipo de explosivo hacia cualquier tipo de objetivo” indicó Dmitry Bestuzhev, director del equipo de análisis e investigación global para América Latina.

El virus brinda una forma de acceso al sistema infectado, permitiendo, como ya se dijo, el robo de información de forma silenciosa. Información que en muchas ocasiones los ciber delincuentes usan para realizar actos de sabotaje.

Según Bestuzhev, América latina no está preparada para los ataques dirigidos de Duqu. El especialista considera que los cibercriminales que comandan el virus podrían infectar las estructuras de los gobiernos y las empresas, para lo cual recomienda que dichos sectores tomen medidas preventivas.

Primeros ataques

Kaspersky Security Network detectó cuatro ataques de infección, una de ellas ubicada en Sudán, mientras las otras tres fueron detectadas en Irán.

Los cuatro ataques de Duqu tenía una modificación propia de un controlador diferente, el cual fue usado para la infección. En una de las infecciones localizadas en Irán también se descubrieron dos ataques de red que explotaban la vulnerabilidad MS08-067. Stuxnet y otro programa nocivo más antiguo conocido con el nombre de Kido,

El malware aprovecha una flaqueza de día-0 en el kernel de Windows y relacionada con la fuente True Type para instalarse. Las investigaciones han demostrado que el primer ataque fue efectuado a través de un documento de Word, el cual fue enviado como archivo adjunto a través de un correo electrónico. Posteriormente, los elementos principales del Duqu se instalaron automáticamente cuando la víctima abrió el archivo.

Además, los estudios dieron a conocer que el virus es capaz de infectar los ordenadores que no están conectados a Internet, sino sólo a una red local.

“Duqu tiene la propagación a través de las redes corporativas y en particular las tareas programadas. Este hecho muestra que los que están detrás buscan conseguir acceso a las máquinas no de los usuarios finales, sino de las corporaciones, empresas y gobiernos. Los objetivos a infectar son cuidadosamente seleccionados y trabajados una vez que se llega a tener acceso a un equipo que sería el inicial”, explicó Bestuzhev.

Alexander Góstev, Jefe Experto en Seguridad en Kaspersky Lab, señaló: "A pesar de que los sistemas atacados por Duqu están en Irán, hasta el momento no hay evidencia de que sean sistemas industriales o relacionados con el programa nuclear de este país. Por lo tanto, es imposible afirmar que el blanco del nuevo programa malicioso es el mismo que el de Stuxnet. De todos modos, está claro que cada infección causada por Duqu es única. Esta información nos permite decir con seguridad que se está usando Duqu para lanzar ataques a objetos predeterminados".

El equipo de Kaspersky Lab continúa investigando el Duqu y está vigilando la situación para poder anticipar la geografía de los blancos, lo cual aún no ha podido definirse debido a que el virus ha infectado a sistemas muy específicos en todo el mundo.

Características del Duqu:

- Cada una de sus modificaciones tiene controladores (drivers) diferentes.
- Se han encontrado evidencias de que  los ejemplares activos de este programa nocivo pueden modificarse dependiendo del objetivo específico que se pretende atacar.