La saga de Duqu continúa

Kaspersky Lab publicó en su blog el análisis de las actividades virales correspondientes al mes de octubre y señala que el suceso más importante para la industria antivirus fue el descubrimiento del programa troyano Duqu, una nueva reencarnación del Stuxnet.

También, entre los puntos más importantes del reporte, destaca los ataques contra los usuarios individuales (amenazas móviles) y los ataques contra las redes de corporaciones e instituciones gubernamentales, especialmente en Japón y EE.UU.

Además, durante octubre los equipos de los usuarios de Kaspersky Lab:

·         se neutralizaron 161.003.697 ataques de red

·         se bloquearon 72.207.273 intentos de infección mediante la web

·         se detectaron y neutralizaron 205.822.404 programas maliciosos (intentos de infección local)

·         los veredictos heurísticos se activaron 80.900.079 veces.

Kaspersky Lab informó que pudo localizar archivos de la variante de Duqu que no se habían descubierto y también encontraron la fuente de infección y el archivo dropper que contiene el exploit para la vulnerabilidad en win32k.sys (CVE-2011-3402).

Kaspersky Labs realizó una investigación sobre varios incidentes relacionados con una infección del troyano Duqu. “Por suerte –dice- pudimos profundizar en algunos aspectos de Duqu y encontrar algunos de los componentes que no teníamos, sin los que habría sido muy difícil comprender la situación.

Agregan que ante todo queremos expresan su agradecimiento a los especialistas de CERT Sudán. “Nos han estado ofreciendo asistencia invaluable en nuestra investigación, y demostraron que tienen el más alto nivel de profesionalismo – en total concordancia con los valores y metas de todos los CERT del mundo. Seguimos trabajando en cooperación con el CERT de Sudán, y también analizaremos otros tres incidentes que afectan a este país.”

“Nuestro mayor logro –sigue diciendo- ha sido en la investigación del incidente considerado N? 1, que describí en mi segunda entradasobre Duqu. No sólo pudimos localizar archivos de esta variante de Duqu que no se habían descubierto, también encontramos la fuente de infección y el archivo dropper que contiene el exploit para la vulnerabilidad en win32k.sys (CVE-2011-3402).

Comparando la información que descubrimos con la de otros analistas y empresas antivirus, encontramos varios rasgos comunes que revelan la cronología aproximada y los métodos generales que usaron los autores de Duqu.

Las fechas del incidente se correlacionan con la historia del descubrimiento en Irán de un virus llamado Stars. En aquel momento, los especialistas iraníes no compartieron muestras del virus descubierto con ninguna empresa antivirus y esto, debo decir, que dio lugar a todos los acontecimientos de esta saga. Lo más probable es que los iraníes hayan encontrado un módulo capturador de teclado (keylogger) que se había cargado en el sistema y contenía una foto de la galaxia NGC 6745. Esto explicaría que lo hayan llamado Stars.

Conclusión

Como parte de la investigación de este incidente establecimos los puntos de entrada para penetrar los sistemas, fechas de los acontecimientos y varios hechos sobre la conducta de los atacantes. Esta información nos permite fechar una de las olas de ataque entre mediados y finales de abril de 2011. Los descubrimientos clave incluyen:

• Se creó un conjunto separado de archivos de ataque para cada víctima;
• Cada conjunto de archivos único utilizaba un servidor de control separado;
• Los ataques se realizaron mediante correo electrónico con un archivo .DOC adjunto;
• El envío de correos se realizó desde cuentas anónimas, probablemente mediante ordenadores comprometidos;
• Se conoce por lo menos una dirección que envió los correos electrónicos: bjason1xxxx@xxxx.com;
• Se creó un archivo DOC separado para cada víctima;
• El exploit de la vulnerabilidad estaba dentro de un font llamado “Dexter Regular”;
• Los atacantes cambiaron el shellcode, y variaron el rango de fechas para las posibles infecciones;
• Después de ingresar en el sistema, los atacantes instalaron módulos extra e infectaron ordenadores vecinos;
• La presencia de los archivos ~DF.tmp y ~DQ.tmp en el sistema indica que sin duda había una infección de Duqu.

Aclara no poder compartir la fuente del archivo .DOC por razones de privacidad y para proteger la identidad de la víctima.

Tampoco podemos –dice- publicar la dirección del servidor de control de esta variante de Duqu, al menos por ahora; pero creemos que ya ha dejado de funcionar y los atacantes ya han borrado toda la información crítica que contenía. Este también es el caso de más de un servidor de control que hemos descubierto. Después se publicará más información sobre los servidores de control.

Podemos confirmar que por ahora conocemos por lo menos 12 conjuntos únicos de archivos Duqu. La variante de la que hablamos en esta entrada es la variante F. Más adelante se publicará información detallada sobre las otras variantes.