Llega Duqu, una amenaza similar a Stuxnet

Symantec ha advertido sobre un nuevo tipo de ataque parecido al de Stuxnet y que ha sido bautizado como Duqu, basado en muestras de archivos que la compañía de seguridad afirma haber recibido de un laboratorio de investigación con “conexiones internacionales”.

Partes de Duqu son casi idénticos a Stuxnet, que causó estragos en el programa nuclear de Irán, aunque su propósito, dice Symantec, es diferente: robar información de los controles industriales en lugar de sabotearlos.

Stuxnet, portada de los medios de comunicación el pasado mes de enero, generó un ciberataque como no se había visto hasta entonces y que para muchos significó el inicio de una carrera de seguridad a nivel estatal y demostró como nunca antes que la ciber guerra representa la próxima gran amenaza.

Duqu ha sido escrito por los mismos autores del código fuente de Stuxnet, o por alguien que ha tenido acceso a dicho código, y su nombre se deriva del prefijo de los nombres de archivo que crear, .DQ. El propósito del malware, según Symantec, es recopilar datos y activos, como documentos de diseño de los fabricantes de sistemas de control industrial. Esa información podría ayudar a un atacante a crear una ofensiva contra una fábrica. Es posible que los hackers que hay detrás de Duqu estén utilizando variantes para otro tipo de organizaciones.

Duqu no incorpora código relacionado con los sistemas de control industrial, sino que se trata de un RAT (Remote Access Trojan) que no se replica. Utilizando un protocolo personalizado sobre HTTP o HTTPS, Duqu se comunica con el servidor de comando y control para descargar ejecutables, como malware capaces de grabar las teclas pulsadas en el teclado y otra información sensible para preparar futuros ataques.

Symantec ofrece una análisis en profundidad sobre Duqu así como una comparación con Stuxnet en un White paper titulado W32.Duqu: The precursor to the next Stuxnet.