Duqu es un conjunto de malware (software malicioso) para ordenador descubierta el 1 de septiembre de 2011, se cree que está relacionado con el gusano Stuxnet. El Laboratorio de Criptografía y Sistemas de seguridad de la Universidad de Tecnología y Economía de Budapest en Hungría descubrió la amenaza, analizó el software malicioso, y escribió un informe de 60 páginas nombrando la amenaza Duqu. Duqu obtuvo su nombre del prefijo "~DQ", el cual es el nombre que da a los archivos que crea.
El término Duqu puede usarse de varias maneras:
Symantec, basado en el informe CrySyS, continuó el análisis de la amenaza, declarándola "casi idéntica a Stuxnet, pero con un propósito completamente diferente", y además publicaron un artículo técnico detallado, con una versión recortada del informe de laboratorio original como un anexo. Symantec considró que Duqu fue creado por los mismos autores que Stuxnet, o que los autores tuvieron acceso al código fuente. El gusano, como Stuxnet, tiene una firma digital válida, pero muy usada, y recoge información para preparar ataques futuros. Mikko Hyppönen, Jefe de Búsqueda para F-Secure, dijo que el controlador del kernel Duqu, JMINET7.SYS, era tan similar a Stuxnet MRXCLS.SYS que el sistema back-end de F-Secure pensó que se trataba de Stuxnet. Hyppönen añadió que la clave usada para hacer la firma digital de Duqu (sólo observado en un caso) fue robada de C-Media, ubicados en Taipéi, Taiwán. Los certificados estaban pensados para expirar el 2 de agosto de 2012 pero fueron revocados el 14 de octubre de 2011 según Symantec.
Otra fuente, Dell SecureWorks, informa que Duqu puede no estar relacionado con Stuxnet.
Sin embargo, hay considerables y crecientes pruebas de que Duqu está estrechamente relacionado con Stuxnet.Los expertos compararon las semejanzas y encontraron tres puntos de interés:[cita requerida]
Como Stuxnet, Duqu ataca los sistemas de Microsoft Windows utilizando una vulnerabilidad de día cero. El primer archivo instalador recuperado y revelado (apodado dropper) por CrySyS utiliza un documento de Microsoft Word explotando el motor de separado de palabras de la fuente Win32k TrueType permitiendo la ejecución de código malicioso. El apodo de dropper (cuentagotas) en Duqu se refiere a la incrustación en la fuente, también refiriéndose a la solución alternativa para restringir el acceso a T2EMBED.DLL, que es el motor de separación de palabras de la fuente TrueType; solo funciona si el parche liberado por Microsoft en diciembre de 2011 no ha sido instalado. El identificador de Microsoft para la amenaza es MS11-087 (comunicado por primera vez el 13 de noviembre de 2011).
Duqu busca información que podría ser útil para atacar sistemas de supervisión industrial. Su propósito no es destructivo, los componentes conocidos tratan de reunir información.carga útil especial podría ser usada para atacar cualquier tipo de sistema informático por cualquier medio y así los ataques cibernéticos o físicos basados en Duqu podrían ser posibles. Además, cuando afecta a ordenadores personales se ha descubierto que elimina toda la información reciente introducida en el sistema, y en algunos casos borra completamente el disco duro del ordenador. Las comunicaciones internas de Duqu son analizadas por Symantec, pero el método real y exacto de cómo se reproduce dentro de una red atacada todavía no se conoce. De acuerdo con McAfee, una de las acciones de Duqu es robar certificados digitales -y sus llaves privadas correspondientes, como en la criptografía de clave pública- de los ordenadores atacados para ayudar a que virus futuros se camuflen como software seguro. Duqu utiliza una imagen JPEG de 54×54 píxeles y un archivo vacío cifrado como contenedor para sustraer datos y mandarlos a su centro de control. Expertos en seguridad todavía están analizando el código para determinar qué información contienen las comunicaciones. La investigación inicial indica que la muestra original del software malicioso se auto-elimina después de 36 días (el software malicioso almacena esta configuración en los archivos de configuración), limitando su detección.[cita requerida]
Sin embargo, basado en la estructura modular de Duqu,Los puntos claves son:[cita requerida]
El análisis de algunos de sus botnet ha permitido apreciar una predilección por los Servidores CentOS 5.x , por lo que algunos investigadores creyeron que tenían una vulnerabilidad de día cero para CentOS.[cita requerida] Kaspersky ha publicado múltiples entradas en su blog sobre sus servidores de órdenes y control, que están esparcidos en muchos países diferentes, incluyendo Alemania, Bélgica, Filipinas, India y China.
Escribe un comentario o lo que quieras sobre Duqu (directo, no tienes que registrarte)
Comentarios
(de más nuevos a más antiguos)