Duqu: El hijo de Stuxnet

El hijo de Stuxnet que pasó a llamarse Duqu porque todos los archivos temporales que creaba empezaban por ~DQ era una herramienta de ciberespionaje dedicada a robar información de infraestructuras críticas, tales como centrales eléctricas y nucleares, refinerías y oleoductos. Se piensa que Duqu fue la herramienta perfecta para robar información de la arquitectura y funcionamiento de la planta nuclear de Natanz para posteriormente lanzar Stuxnet con el objetivo de ralentizar el enriquecimiento de uranio Iraní y así retrasar la fabricación de bombas nucleares.

Este malware que fue descubierto por primera vez en Septiembre del 2011 en el laboratorio CrySys de Hungria estaba compuesto por un conjunto de módulos de logger keystroke e infostealer diseñados para robar contraseñas, además de realizar capturas de pantalla y robar documentos, especialmente ficheros de AutoCAD. Duqu era un troyano que daba acceso remoto a los atacantes mediante comunicaciones cifradas con el algoritmo AES que les permitía instalar otros módulos de espionaje. La utilización de comunicaciones cifradas hacía que Duqu fuese más sigiloso que Stuxnet cuando se conectaba a los servidores de control C&C repartidos por Europa y Asia. Además, al contrario que Stuxnet con más de 100.000 máquinas infectadas, la baja propagación de Duqu y un adecuado control de la difusión del malware permitía a los atacantes gestionar dos o tres máquinas infectadas por cada servidor de control, evitando que si alguien se hacía con la gestión de algún servidor de control no tuviese una visión completa del alcance del ataque.

Viendo la baja propagación del ataque, claramente estamos ante un ataque dirigido hacia empresas y organismos concretos. Al contrario de Stuxnet donde los mecanismos de propagación eran automáticos, Duqu se propagaba de manera manual con la intervención del atacante, principalmente mediante phishing. Además si comparamos el cifrado de Duqu con el de Stuxnet, el cifrado de Duqu era débil, disponía de un bloque de configuración cifrado donde se guardaba una clave para descifrar un registro, dentro de este registro había otra clave para descifrar el fichero .DLL principal de Duqu.

Según las investigaciones del laboratorio húngaro CrySys, junto con la ayuda de Symantec, McAffe y Microsoft, el malware les llegó mediante un correo de phishing con un documento de Microsoft Word adjunto que aprovechaba una vulnerabilidad 0day de buffer-overflow en el motor de parseo de fuentes TrueType de Windows, inicialmente podría parecer que los atacantes tan solo iban a tener acceso de usuario con esta vulnerabilidad ya que se ejecuta en el contexto del usuario, pero no fue así, sino que el código malicioso atravesaba varias capas de protección instalándose y ejecutándose a nivel del kernel.

En definitiva, estamos ante una herramienta de espionaje y no una herramienta de sabotaje como era Stuxnet, que además estaba firmada digitalmente por una empresa Taiwanesa confiable llamada C-Media Electronics permitiendo su instalación de manera desapercibida, que utilizaba su propio lenguaje orientado a objetos llamado OO-C que hacía más difícil leer el código, además de ser más pequeño y portable, con un objetivo muy claro y con fecha de caducidad que desactivaba y eliminaba el malware para evitar ser descubierto. En fin … una obra de ingeniería desarrollada probablemente por algún gobierno y que ha estado activa durante aproximadamente cuatro años para ¿vigilancia o espionaje?

Un saludo amigos.