El misterio de Duqu: Parte 3

Antes que nada tengo que enmendar un error en el texto anterior.

Cuando analizábamos el cuarto incidente en Irán, dijimos que habíamos visto dos ataques de redes a un ordenador víctima que provenían de la dirección IP 63.87.255.149. Pudo haber sido una versión exclusiva de Duqu, pero resultó que era un gran error.

Júzgalo tú mismo: Duqu busca conexiones a Internet e intenta llegar al servidor kasperskychk.dyndns.org, que debería estar ubicado en 68.132.129.18. Un análisis de la información en esta dirección muestra que está ubicado en el mismo centro de datos que la dirección IP 63.87.255.149 que “descubrimos”.

Pero cometí un error al transformar la dirección al olvidar un simple signo “menos”: los números “1062731669” y “-1062731669”. En el primer caso, al transformarlo a una dirección IP obtenemos 63.87.255.149, pero en el segundo obtenemos la dirección local 192.168.0.107 que, por supuesto, no es de ninguna relevancia para nuestro estudio 🙁

“Dropper” y vulnerabilidad “0-day”

Ahora veamos unas noticias más interesantes. Resulta que la investigación que está realizando el laboratorio húngaro Crysys ha llevado a la detección de la conexión principal que faltaba, un dropper que causó la infección inicial del sistema.

Como suponíamos, una vulnerabilidad era la culpable. Se descubrió que uno de los responsables de Duqu había enviado un documento de MS Word a una de las víctimas. El archivo contenía un exploit para una vulnerabilidad de Windows que se desconocía, que extrajo y ejecutó componentes de Duqu.

Symantec y Microsoft todavía no han puesto el archivo dropper a disposición de otras empresas antivirus ni ofrecido información sobre qué componente de Windows contiene la vulnerabilidad que causa el aumento de privilegios. Pero evidencias indirectas indican que la vulnerabilidad se encuentra en win32k.sys.

Descubrimos una vulnerabilidad parecida (ver MS10-073) hace un año mientras analizábamos Stuxnet. Microsoft arregló otro problema interesante en win32k.sys (MS11-077) el 11 octubre de este año: una vulnerabilidad de ejecución de código que se podía explotar mediante archivos font.

Microsoft dijo que estaba trabajando en la vulnerabilidad que usó Duqu, aunque parece que los parches no estarán disponibles en las actualizaciones de noviembre.

La detección del dropper y la ruta que se usa para penetrar en el sistema (un ataque dirigido contra una víctima específica realizado por correo electrónico) comprueba nuestra teoría de que los ataques de Duqu están dirigidos hacia una cantidad muy limitada de víctimas y pueden utilizar grupos de archivos especiales según el caso.

Parece que Duqu está utilizando tareas programadas para infectar otros ordenadores en la red, una táctica que también habíamos visto en Stuxnet y es una opción preferida por los APTs. Esto, junto a los detalles que ya se conocían, refuerza la teoría de que Stuxnet y Duqu fueron creados por las mismas personas.

Información adicional muestra que los atacantes trabajaron minuciosamente con los sistemas afectados, recolectando datos con cuidado desde cada ordenador, y penetrando cada vez más profundo en las redes de las víctimas. Además de un grupo único de archivos Duqu para cada víctima, puede haber un servidor de comandos (C2) para cada entidad atacada.

Nuestro análisis muestra que los incidentes en los que detectamos Duqu en Sudan e Irán son mucho más grandes de lo que pensábamos al principio. Por ahora, conocemos a tres víctimas en Sudan y cuatro en Irán. Estamos trabajando con algunas para descubrir todos los componentes de Duqu y rastrear la infección inicial.

Esperamos tener los resultados en un futuro muy cercano y publicarlos en el próximo capítulo de “El misterio de Duqu”.