Duqu FAQ

ÚLTIMAS NOTICIAS:

Esta es una investigación realizada por el Equipo mundial de análisis e investigación de Kaspersky Lab. Actualizaremos estas Preguntas frecuentes oportunamente.

¿Qué es exactamente Duqu? ¿Cómo se relaciona con Stuxnet?

Duqu es un sofisticado troyano que parece haber sido escrito por los mismos autores del gusano Stuxnet. Su principal objetivo es funcionar como una puerta trasera en el sistema y permitir el robo de información confidencial. Esta es la principal diferencia con Stuxnet, que fue creado para realizar sabotaje industrial. También es importante señalar que mientras Stuxnet es capaz de replicarse de un ordenador a otro recurriendo a varios mecanismos, Duqu es un troyano que no parece replicarse por sí mismo.

¿Ataca a cualquier equipo PLC/SCADA? ¿Cuáles o quiénes son, exactamente, sus blancos? ¿Lo sabemos?

A diferencia de Stuxnet, Duqu no ataca directamente a equipos PLC/SCADA, aunque algunas de sus subrutinas podrían usarse para robar información relacionada con instalaciones industriales. Parece que Duqu fue creado para recopilar inteligencia sobre sus blancos, que puede incluir casi todo lo que esté disponible en formato digital en el ordenador capturado.

¿Cómo infecta Duqu los ordenadores? ¿Puede propagarse por medio de dispositivos USB?

Por ahora, sólo hemos visto rastros en los sistemas infectados, pero no hemos identificado el principal componente de duplicación. Parece que hay un instalador, “la nave nodriza” de Duqu, que infecta los equipos; pero aún no contamos con una muestra.

¿Contiene Duqu algún exploit, especialmente tipo día-cero?

Por el momento, no hemos identificado ninguna vulnerabilidad día-cero en este programa malicioso, pero seguimos investigando. El código malicioso es bastante complejo y el análisis es muy laborioso.

¿Cómo se enteraron los fabricantes de antivirus de esta amenaza? ¿Quién la denunció?

La primera mención pública que conocemos es la que aparece en el blog de un húngaro, que aparentemente fue víctima de un ataque. Después publicó más información sobre el certificado usado para firmar el controlador de Duqu; pero al final borró todas sus entradas relacionadas con este tema.

¿Cuándo se detectó por primera vez esta amenaza?

El 14 de septiembre registramos la detección del principal componente Infostealer, con el nombre de “Trojan.Win32.Inject.bjyg”. Después, el 1 de septiembre de 2011, encontramos un registro anterior de una muestra.

¿Cuántas variantes de Duqu existen? ¿Existen notorias diferencias entre las variantes?

Parece que existen al menos tres variantes de los controladores de Duqu, y algunos componentes. Todos han sido detectados con distintos nombres por varias compañías antivirus, lo que da la impresión de que existen múltiples y diferentes variantes. Hasta este momento, sabemos de un componente Infostealer y de tres distintos controladores.

Se dice que ataca específicamente a autoridades de certificación.. ¿Es cierto?

Si bien existen informes que indican que el principal objetivo de Duqu es robar información de las autoridades de certificación, no hay hasta este momento evidencia clara que lo pruebe.

Symantec sostiene que apunta a determinadas organizaciones, posiblemente con la intención de recopilar información específica que pueda usarse en futuros ataques. ¿Qué tipo de información busca y qué tipo de ataques futuros son posibles?

Una sospecha es que Duqu se usó para robar certificados de las autoridades de certificación para usarlos para firmar códigos maliciosos a fin de dificultar su detección. La función de puerta trasera de Duqu es en realidad bastante compleja y puede usarse para otros fines. De hecho, puedo robar cualquier cosa.

¿Duqu usa el servidor de comando y control para permanecer activo? ¿Qué pasa cuando un equipo infectado se comunica con el servidor de comando y control?

El servidor de comando y control, que estaba alojado en India, se encuentra inactivo. Tal como sucedió con Stuxnet, se lo desactivó muy rápidamente tras estallar las noticias.

¿Por qué está Duqu configurado para ejecutarse durante 36 días?

Quizás al autor le gustan los números redondos, como 6×6.

¿Quién está detrás de los ataques?

La misma banda que estaba detrás de Stuxnet. Curiosamente, parecen haberse interesado en la astronomía, ya que el ejecutable Infostealer contiene una porción de un archivo JPEG recogido por el telescopio Hubble (“Interacting Galaxy System NGC 6745”):

La fotografía muestra los efectos de la colisión directa de dos galaxias, hace millones de años. Puedes leer la historia aquí (en inglés).

Continuará…

* Investigación realizada por el Equipo mundial de análisis e investigación de Kaspersky Lab.