EnHacke
>

El troyano Duqu al descubierto

El troyano Duqu ha traído de cabeza a varias compañías de seguridad dado que podría ser muy peligroso, algunos lo denominan Stuxnet 2.0. Un grupo de programadores y analistas de seguridad han conseguido descifrar el lenguaje de programación del mismo, lo que permitirá crear técnicas que permitan el control del mismo y evitar su expansión.

Este malware es una variante del arma cibernética destinada a retrasar la capacidad de Irán para fabricar bombas nucleares, Stuxnet.

El anuncio de que el troyano Duqu estaba desarrollado en un lenguaje de programación ‘desconocido’ desató una tormenta de especulaciones entre expertos en malware y programadores de todo el mundo.

Después de aislar y analizar el troyano y tras la colaboración y sugerencias de centenares de programadores, los analistas de Kaspersky Lab dicen haber resuelto que el lenguaje no es nuevo aunque contaba con un alto grado de optimización y personalización, sin rastro de cualquier firma indicadora que pudiera dar pistas en el código de ensamblador que pudieran ser leídos como una huella digital.

Así, Duqu estaría escrito en lenguaje ‘C’ y compilado con el Visual Studio 2008 de Microsoft, aunque incluiría una extensión personalizada conocida como “OO C” para combinar programación orientada a objetos con C.

Por el lenguaje empleado, los investigadores aseguran que Duqu fue escrito por un programador o equipo profesional de la ‘vieja escuela’ que no confían en compiladores como C++. Además, C, es altamente portable a otras plataformas, un plus para un troyano malicioso.

Es seguro que fue realizado ‘por encargo’ con equipos distintos para su creación e infección aunque se desconoce su país de origen y su objetivo concreto. Se sigue pensando que en origen estaba destinado a robar información de infraestructura crítica, tales como centrales eléctricas, refinerías y oleoductos, utilizando una red de miles de ordenadores infectados, aprovechando una vulnerabilidad en sistemas Windows.

El análisis del código de Duqu parece descartar como creían los investigadores relación con Stuxnet a pesar de sus coincidencias. Y es un alivio porque se considera a éste como “el arma cibernética más sofisticada jamás creada”, seguramente en Israel, para piratear, sabotear y retrasar la capacidad de Irán para fabricar bombas atómicas. Un virus que llegó a infectar miles de equipos en 155 países.

Descubren un nuevo y desconocido lenguaje de programación empleado en la creación de Duqu

Este nuevo lenguaje de programación demuestra la alta cualificación de los desarrolladores implicados, así como los importantes recursos financieros y laborales movilizados para garantizar la ejecución del proyecto.

Expertos anti-malware de Kaspersky Lab han descubierto que parte del sofisticado Troyano Duqu, cuyos creadores son los mismos que los del gusano Stuxnet, se escribió en un lenguaje de programación hasta ahora desconocido.
La finalidad principal de Duqu era actuar como backdoor en el sistema para facilitar el robo de información privada y se detectó por primera vez en septiembre de 2011, pero según datos de Kaspersky Lab, su primer rastro relacionado con el malware se remonta a agosto de 2007. Los expertos de la compañía han captado más de una docena de incidentes que involucran a Duqu, y la gran mayoría de las víctimas están localizadas en Irán. Un análisis de sus actividades muestra que el principal objetivo de los ataques era robar información sobre los sistemas de control utilizados en varias industrias, así como la recogida de información acerca de las relaciones comerciales de una amplia gama de organizaciones iraníes
El gran misterio sin resolver del troyano Duqu se refiere a cómo el programa malicioso se comunicaba con sus servidores de Comando y Control (C&C) una vez que infectaban la máquina de la víctima. El módulo de Duqu responsable de la interacción con el servidor C&C es parte de su Payload DLL (efecto producido por el virus).

Después de un análisis exhaustivo del Payload DLL, los expertos de Kaspersky Lab han descubierto que la sección específica interna que se comunica exclusivamente con el C&C, ha sido escrita en un lenguaje de programación desconocido. Los expertos de Kaspersky Lab han nombrado a esta sección se desconocida ” Duqu Framework”.

A diferencia del resto de Duqu, Duqu Framework no está escrito en C++ y no está compilado con Microsoft Visual C++ 2008. Es posible que sus autores utilicen un in-house framework para generar un código C intermedio, o que empleen otro lenguaje de programación completamente diferente. Sin embargo, los investigadores de Kaspersky Lab han confirmado que el lenguaje está orientado a objetos y realiza su propio conjunto de actividades relacionadas y adecuadas para aplicaciones de red.

El lenguaje de Duqu Framework es altamente especializado. Permite que el Payload DLL opere de forma independiente al resto de módulos Duqu y lo conecta a su C&C a través de varias vías, incluyendo Windows HTTP, conexiones de red y servidores proxy. También permite que Payload DLL procese peticiones HTTP del servidor de C&C directamente, transmitiendo copias de forma sigilosa de la información robada de la máquina infectada a la de C&C. Incluso puede distribuir carga maliciosa adicional a otras máquinas en la red, lo cual crea un entorno controlado y una discreta forma de propagación de infecciones a otros equipos.

“Dado el tamaño del proyecto Duqu, es posible que un equipo completamente diferente fuese responsable de crear Duqu Framework”, afirma Alexander Gostev, experto jefe de seguridad de Kaspersky Lab. “Con el altísimo nivel de personalización y exclusividad utilizado para crear el lenguaje de programación, es posible que se haya hecho no sólo para evitar que detectaran la operación de ciber-espionaje y las interacciones con el C&C, sino también para separar otros equipos internos de Duqu que han sido los responsables de escribir las partes adicionales del programa malicioso”.

De acuerdo con Alexander Gostev, la creación de un lenguaje de programación dedicado demuestra lo altamente cualificados que están los desarrolladores que trabajan en el proyecto, así como los importantes recursos financieros y laborales movilizados para garantizar la ejecución del proyecto.

A Kaspersky Lab le gustaría hacer un llamamiento a toda la comunidad de programadores por si alguien reconoce al nuevo framework, herramientas o lenguaje de programación que pueda generar construcciones similares de código. Para ello pueden contactar con los expertos se la compañía para poder solucionar este profundo misterio de la saga Duqu ( stopduqu@kaspersky.com ).

La versión completa del análisis del Duqu Framework de Igor Soumenkov y Raiu Costin se puede encontrar en Securelist www.securelist.com

Un troyano amenaza a los usuarios de Mac

Un nuevo troyano está amenazando a los dispositivos Macinstosh de Apple y a sus usuarios. Se trata de Flashback.G, que es capaz de infectar equipos y robar contraseñas de servicios como Google, PayPal y banca online.

Según informa The Telegraph, el nuevo ‘malware’ es una cepa de Flashback, un troyano descubierto en septiembre, y se dice que está aumentando su tasa de infección.

El virus trata de tomar el control de los Mac de manera encubierta, y para ello utiliza tres métodos distintos. Dos de ellos explotan las vulnerabilidades en el lenguaje de programación Java, y no requieren de la intervención del usuario para tener éxito.

Si Java no está instalado o actualizado, Flashback.G intenta engañar a los usuarios, instalándolo mediante un certificado de seguridad falso que parece que viene de Apple, de acuerdo con Intego, una empresa de seguridad informática. Según la compañía “la mayoría de los usuarios no van a entender lo que esto significa” y le darán click a “continuar” para permitir la instalación.

Además, los usuarios de Mac que utilicen la versión de OS X, Snow Leopard, corren un mayor riesgo, ya que Java estaba incluido por primera vez en el paquete de instalación.

Por esto Intengo afirma que “es esencial que quienes utilicen OSX 10.6 actualicen Java inmediatamente“. Si el Mac está infectado, algunas aplicaciones como Safari y Skype, se “caerán” todo el rato.