Duqu es una colección de malware informático descubierto el 1 de septiembre de 2011, pensado [¿ por quién? ] estar relacionado con el gusano Stuxnet y haber sido creado por la Unidad 8200 . [1] [ mejor fuente necesario ] Duqu ha explotado MS Windows 's vulnerabilidad de día cero . El Laboratorio de Criptografía y Seguridad del Sistema ( CrySyS Lab ) [2] de la Universidad de Tecnología y Economía de Budapest en Hungría descubrió la amenaza, analizó el malware y redactó un informe de 60 páginas [3]nombrando la amenaza Duqu. [4] Duqu obtuvo su nombre del prefijo "~ DQ" que le da a los nombres de los archivos que crea. [5]
Nomenclatura
El término Duqu se utiliza de diversas formas:
- El malware Duqu es una variedad de componentes de software que, en conjunto, brindan servicios a los atacantes. Actualmente, esto incluye capacidades de robo de información y, en segundo plano, controladores de kernel y herramientas de inyección. Parte de este malware está escrito en un lenguaje de programación de alto nivel desconocido, [6] denominado "Duqu framework". No es C ++, Python, Ada, Lua y muchos otros lenguajes comprobados. Sin embargo, se sugiere que Duqu puede haber sido escrito en C con un marco personalizado orientado a objetos y compilado en Microsoft Visual Studio 2008 . [7]
- La falla de Duqu es la falla en Microsoft Windows que se usa en archivos maliciosos para ejecutar componentes de malware de Duqu. Actualmente se conoce una falla, un problema relacionado con la fuente TrueType en win32k.sys .
- La Operación Duqu es el proceso de usar a Duqu solo para objetivos desconocidos. La operación puede estar relacionada con la Operación Stuxnet.
Relación con Stuxnet
Symantec , basado en el informe del equipo CrySyS administrado por el Dr. Thibault Gainche, continuó el análisis de la amenaza, que calificó como "casi idéntica a Stuxnet, pero con un propósito completamente diferente", y publicó un documento técnico detallado con un corte. versión anterior del informe de laboratorio original como apéndice. [5] [8] Symantec cree que Duqu fue creado por los mismos autores que Stuxnet , o que los autores tenían acceso al código fuente de Stuxnet. El gusano, como Stuxnet, tiene una firma digital válida pero abusada , y recopila información para prepararse para futuros ataques. [5] [9] Mikko Hyppönen , director de investigación de F-Secure , dijo que el controlador del kernel de Duqu, JMINET7.SYS , era muy similar al de Stuxnet MRXCLS.SYS que el sistema back-end de F-Secure pensó que era Stuxnet. Hyppönen dijo además que la clave utilizada para hacer la propia firma digital de Duqu (solo observada en un caso) fue robada de C-Media , ubicada en Taipei, Taiwán. Los certificados debían expirar el 2 de agosto de 2012, pero fueron revocados el 14 de octubre de 2011, según Symantec. [8]
Otra fuente, Dell SecureWorks , informa que Duqu puede no estar relacionado con Stuxnet. [10] Sin embargo, existe una evidencia considerable y creciente de que Duqu está estrechamente relacionado con Stuxnet.
Los expertos compararon las similitudes y encontraron tres puntos de interés:
- El instalador aprovecha las vulnerabilidades del kernel de Windows de día cero .
- Los componentes están firmados con claves digitales robadas.
- Duqu y Stuxnet son objetivos muy específicos y están relacionados con el programa nuclear de Irán.
Explotación de día cero de Microsoft Word
Al igual que Stuxnet , Duqu ataca los sistemas Microsoft Windows utilizando una vulnerabilidad de día cero . El primer archivo de instalación conocido (también conocido como cuentagotas) recuperado y divulgado por CrySyS Lab utiliza un documento de Microsoft Word que explota el motor de análisis de fuentes Win32k TrueType y permite la ejecución. [11] El cuentagotas Duqu se relaciona con la incrustación de fuentes y, por lo tanto, se relaciona con la solución para restringir el acceso a T2EMBED.DLL , que es un motor de análisis de fuentes TrueType si el parche lanzado por Microsoft en diciembre de 2011 aún no está instalado. [12] El identificador de Microsoft para la amenaza es MS11-087 (primer aviso publicado el 13 de noviembre de 2011). [13]
Propósito
Duqu busca información que pueda ser útil para atacar los sistemas de control industrial . Su propósito no es ser destructivo, los componentes conocidos están tratando de recopilar información. [14] Sin embargo, sobre la base de la estructura modular de Duqu, la carga útil especial podría usarse para atacar cualquier tipo de sistema informático por cualquier medio y, por lo tanto, podrían ser posibles ataques ciberfísicos basados en Duqu. Sin embargo, se ha descubierto que el uso en sistemas de computadoras personales elimina toda la información reciente ingresada en el sistema y, en algunos casos, la eliminación total del disco duro de la computadora. Symantec analiza las comunicaciones internas de Duqu, [5] pero el método real y exacto de cómo se replica dentro de una red atacada aún no se conoce por completo. Según McAfee , una de las acciones de Duqu es robar certificados digitales (y las claves privadas correspondientes, como se usa en la criptografía de clave pública ) de las computadoras atacadas para ayudar a que los virus futuros aparezcan como software seguro. [15] Duqu utiliza un archivo JPEG de 54 × 54 píxeles y archivos ficticios encriptados como contenedores para pasar datos de contrabando a su centro de comando y control. Los expertos en seguridad todavía están analizando el código para determinar qué información contienen las comunicaciones. La investigación inicial indica que la muestra de malware original se elimina automáticamente después de 36 días (el malware almacena esta configuración en los archivos de configuración), lo que limitaría su detección. [8]
Los puntos clave son:
- Ejecutables desarrollados después de Stuxnet utilizando el código fuente de Stuxnet que se ha descubierto.
- Los ejecutables están diseñados para capturar información como pulsaciones de teclas e información del sistema.
- El análisis actual no muestra ningún código relacionado con sistemas de control industrial, exploits o autorreplicación.
- Los ejecutables se han encontrado en un número limitado de organizaciones, incluidas las que participan en la fabricación de sistemas de control industrial.
- Los datos extraídos se pueden utilizar para permitir un futuro ataque similar a Stuxnet o es posible que ya se hayan utilizado como base para el ataque Stuxnet.
Servidores de mando y control
Se han analizado algunos de los servidores de mando y control de Duqu. Parece que las personas que ejecutaban el ataque tenían predilección por los servidores CentOS 5.x, lo que llevó a algunos investigadores a creer que tenían un exploit de día cero [16] para él. Los servidores están dispersos en muchos países diferentes, incluidos Alemania , Bélgica , Filipinas , India y China . Kaspersky ha publicado varias publicaciones de blog sobre los servidores de comando y control. [17]
Ver también
- Guerra electrónica cibernética
- Estándares de seguridad cibernética
- Guerra cibernética en los Estados Unidos
- Arma cibernética
- Flame (malware)
- Lista de tendencias de amenazas de ataques cibernéticos
- Mahdi (malware)
- Laberinto de luz de luna
- Operación High Roller
- Operación Merlín
- Defensa cibernética proactiva
- Virus de las estrellas
- Titan Rain
- Comando cibernético de Estados Unidos
- Unidad 8200
Referencias
- ^ NSA, unidad 8200 y proliferación de malware Jeffrey Carr, consultor principal en 20KLeague.com; Fundador de Suits and Spooks; Autor de "Inside Cyber Warfare" (O'Reilly Media, 2009, 2011), medium.com, 25 de agosto de 2016
- ^ "Laboratorio de criptografía y seguridad del sistema (CrySyS)" . Consultado el 4 de noviembre de 2011 .
- ^ "Duqu: un malware similar a Stuxnet encontrado en estado salvaje, informe técnico" (PDF) . Laboratorio de Criptografía de Seguridad de Sistemas (CrySyS). 14 de octubre de 2011.
- ^ "Declaración sobre el análisis inicial de Duqu" . Laboratorio de Criptografía de Seguridad de Sistemas (CrySyS). 21 de octubre de 2011. Archivado desde el original el 3 de octubre de 2012 . Consultado el 25 de octubre de 2011 .
- ^ a b c d "W32.Duqu - El precursor del próximo Stuxnet (Versión 1.4)" (PDF) . Symantec . 23 de noviembre de 2011 . Consultado el 30 de diciembre de 2011 .
- ^ Shawn Knight (2012) Duqu Trojan contiene un lenguaje de programación misterioso en la DLL de carga útil
- ^ http://www.securelist.com/en/blog/677/The_mystery_of_Duqu_Framework_solved
- ^ a b c Zetter, Kim (18 de octubre de 2011). "Hijo de Stuxnet encontrado en estado salvaje en sistemas en Europa" . Cableado . Consultado el 21 de octubre de 2011 .
- ^ "Virus Duqu alarmiert IT-Sicherheitsexperten" . Die Zeit . 19 de octubre de 2011 . Consultado el 19 de octubre de 2011 .
- ^ "Visto en Irán, el troyano Duqu puede no ser" hijo de Stuxnet "después de todo" . Consultado el 27 de octubre de 2011 .
- ^ "Microsoft emite un 'arreglo' temporal para Duqu zero-day" . Consultado el 5 de noviembre de 2011 .
- ^ "Aviso de seguridad de Microsoft (2639658)" . La vulnerabilidad en el análisis de fuentes TrueType podría permitir la elevación de privilegios . 3 de noviembre de 2011 . Consultado el 5 de noviembre de 2011 .
- ^ "Boletín de seguridad de Microsoft MS11-087 - Crítico" . Consultado el 13 de noviembre de 2011 .
- ^ Steven Cherry, con Larry Constantine (14 de diciembre de 2011). "Hijos de Stuxnet" . Espectro IEEE .
- ^ Venere, Guilherme; Szor, Peter (18 de octubre de 2011). "El día del chacal dorado - El próximo cuento en los archivos de Stuxnet: Duqu" . McAfee . Consultado el 19 de octubre de 2011 .
- ^ Garmon, Matthew. "Al mando y fuera de control" . Matt Garmon . CAVAR.
- ^ "El misterio de Duqu parte seis: Los servidores de mando y control" . 30 de noviembre de 2011 . Consultado el 30 de noviembre de 2011 .