Un laboratorio de criptografía y seguridad en sistemas reveló un método para hallar vestigios de Duqu, amenaza considerada como la sucesora de Stuxnet. Una empresa rio más detalles sobre el complejo desarrollo de los piratas informáticos detrás del virus
El Laboratorio de Criptografía y Seguridad de Sistemas (CrySyS) de la Universidad Técnica de Budapest dio a conocer una herramienta de código abierto capaz de detectar versiones activas de Duqu.
Se piensa que Duqu, que se ocultó detrás de archivos de Word que llegaban vía mail, escreación de los mismos piratas detrás de Stuxnet, una peligrosa amenaza que puso en jaque a una instalación estratégica de Irán.
La herramienta de CrySys tiene por objetivo detectar distintos tipos de irregularidades e indicadores conocidos que sugieren la presenta de Duqu en el sistema que está siendo analizado.
Desde el mencionado laboratorio pidieron a las compañías que no eliminen el material infectado por Duqu y que lo compartan con empresas de seguridad informática.
CrySys dijo que el usuario promedio, en caso de encontrar una infección, debería conseguir ayuda profesional.
Más detalles de los ataques
La empresa de seguridad informática Kaspersky dio a conocer más detalles sobre la actividad de Duqu.
“Establecimos los puntos de entrada para penetrar los sistemas, fechas de los acontecimientos y varios hechos sobre la conducta de los atacantes. Esta información nos permite fechar una de las olas de ataque entre mediados y finales de abril de 2011. Los descubrimientos clave incluyen:
-Se creó un conjunto separado de archivos de ataque para cada víctima;
-Cada conjunto de archivos único utilizaba un servidor de control separado;
-Los ataques se realizaron mediante correo electrónico con un archivo .DOC adjunto;
-El envío de correos se realizó desde cuentas anónimas, probablemente mediante ordenadores comprometidos;
-Se conoce por lo menos una dirección que envió los correos electrónicos: bjason1xxxx@xxxx.com;
-Se creó un archivo DOC separado para cada víctima;
-El exploit de la vulnerabilidad estaba dentro de un font llamado “Dexter Regular”;
-Los atacantes cambiaron el shellcode, y variaron el rango de fechas para las posibles infecciones;
-Después de ingresar en el sistema, los atacantes instalaron módulos extra e infectaron ordenadores vecinos;
-La presencia de los archivos ~DF.tmp y ~DQ.tmp en el sistema indica que sin duda había una infección de Duqu”.
