Duqu: El precursor de un futuro Stuxnet

Duqu, una nueva amenaza

Symantec se encuentra analizando una nueva amenaza dirigida que comparte gran parte del código con el famoso Stuxnet. Como parte del análisis, Symantec señala que es aparente que los autores de esta nueva amenaza, identificada como Duqu, hayan tenido acceso al código fuente de Stuxnet y no solo al código binario, lo que lleva a pensar que es posible que Duqu haya sido generado por los mismos atacantes que crearon Stuxnet.

El propósito de Duqu es recolectar información y activos de organizaciones, como aquellas que manufacturan sistemas de control industrial, para facilitar un ataque hacia un tercero en un futuro. Los atacantes de esta amenaza están buscando información como documentos de diseño que puedan ayudarles a montar un ataque relacionado con entidades de control industrial. Por tanto, Duqu es esencialmente el precursor de un futuro ataque parecido a Stuxnet.

Últimas actualizaciones

1 de noviembre, 2011

• Una vulnerabilidad de día cero, aún sin patch, utiliza un documento de Microsoft Word para instalar Duqu.
• Los atacantes pueden distribuir Duqu a otros equipos en zonas seguras y controlarlos a través del protocolo peer-to-peer C&C.
• Al menos seis organizaciones en ocho países han confirmado infecciones.
• Un nuevo servidor C&C hosteado en Bélgica ha sido descubierto y cerrado.

Obtenga más información acerca de Duqu de los expertos de Symantec Security Response

• Blog: Status Updates Including Installer with Zero-Day Exploit Found, 1/11/2011
• White Paper: W32.Duqu—The Precursor to the Next Stuxnet, version 1.3, 1/11/2011
• Blog: Duqu: Updated Targeting Information, 21/10/2011
• Blog: Duqu Status Update #1, 21/10/2011
• White Paper: W32.Duqu—The Precursor to the Next Stuxnet
• Blog: W32.Duqu—The Precursor to the Next Stuxnet, 19/10/2011
• Protection Information: W32.Duqu

Webcast On-Demand

Duqu: The Precursor to the Next Stuxnet?, 20/10/2011

Qué dicen los medios acerca de Duqu:

Wired Magazine: Son of Stuxnet Found in the Wild on Systems in Europe

The New York Times: New Malicious Program by Creators of Stuxnet Is Suspected

BBC News: Researchers warn of new Stuxnet worm

The Register: Stuxnet-derived malware found infecting SCADA makers

Financial Times: Spying program affects industrial sites

Bild.de: Mysteriöser Computervirus „Duqu“ bedroht Konzerne

01net: Duqu : le ver successeur de Stuxnet

Forbes: Son of Stuxnet

The Washington Post: New Stuxnet-like code is discovered

Conozca el rol de Symantec en la revelación de Stuxnet

• Lea el artículo de Wired "How Digital Detectives Deciphered Stuxnet, the Most Menacing Malware in History"
• Descargue el Dossier W32.Stuxnet Dossier, Febrero 2011 (PDF)
• Vea el video "Stuxnet: How It Infects PLCs"

La importancia de Stuxnet

Stuxnet busca sistemas de control industriales y luego modifica el código en ellos para permitir que los atacantes tomen control de los sistemas sin que los operadores lo noten. En otras palabras, esta amenaza está diseñada para permitir a los hackers manipular equipamiento físico, lo cual lo hace extremadamente peligroso.

Esta amenaza no es parecida a nada de lo visto anteriormente, no sólo en lo que hace, sino en cómo se descubrió. Es el primer virus informático que permite hacer daño en el mundo físico. Es sofisticado, requirió importantes fondos económicos para ser desarrollado y no existen en la actualidad muchos grupos que puedan desarrollar una amenaza de este tipo. Es también el primer ataque cibernético que hemos visto que ataca específicamente a sistemas de control industrial.

En al menos una organización afectada, Symantec ha confirmado que el archivo instalador fue un documento Microsoft Word (.doc) que hizo uso una vulnerabilidad de kernel conocida que permite la ejecución de código. Cuando el archivo fue abierto, el código malicioso se ejecutó e instaló los binarios de Duqu. Microsoft está al tanto de esta vulnerabilidad y está trabajando en un patch.

“Realmente nunca hemos visto algo así antes y el hecho de que pueda controlar el funcionamiento de una maquinaria física es inquietante”, comentó Liam O’Murchu, investigador de Symantec Security Response.