• 19
    octubre
    2011

    Duqu, pariente de Stuxnet y con cosas bajo el poncho.

    Publicado por Ricardog en Zona de Colaboradores (Zoológico) (0) Comentarios

    (Por Rubén Borlenghi, el Microsaurio) Desde la semana pasada la cosa iba subiendo de tono. Que había en puerta un ciberataque gravísimo; que Irán pensaba devolver el saludito que le habían hecho a su central atómica, perforando la seguridad de poderosas empresas norteamericanas; que desde el Norte iban a atacar primero; que… Bueno, te cuento lo que se sabe hasta ahora (o lo que nos dejan saber). Mientras no empiecen con lo de las armas de destrucción masiva…

    Datos, no novelas, porque de otra manera la historia parece eso, una novela.
    Un equipo de investigación que nadie nombra, pro occidental, es llamado a investigar un malware encontrado “en las máquinas de algunas empresas europeas” a principios de mes. Lo analizan, y le pasan ejemplares a varios laboratorios de empresas como Symantec o McAfee. Como es de imaginar, esta gente diseca el bicho y publica sus hallazgos, filtrando más o menos los datos, no sea que algo se pudra y les echen la culpa por acusar al que no se debe.
    Brian Krebs, un investigador conocido en el campo de los ataques a sistemas industriales, dice que tiene un anuncio importante relacionado con un “grave ataque inminente”. Su website sufre un fuerte ataque de Denial Of Service y queda… fuera de servicio, claro.
    Para el miércoles de esta semana, el tema ya aparece en la prensa amarilloide. Por ejemplo, en el blog “Industrial Safety and Security” afirman que “Sergey Brin de Google, Steve Ballmer de Microsoft y Larry Ellison de Oracle trabajaron con ciberguerreros israelíes para preparar un software que voltee las defensas iraníes en caso de ataque…”. Si querés verificar que no lo inventé, miralo acá.
    ¿Qué hace ese programa llamado DuQu?

    • Ingresa en una máquina que corre Windows.
    • Se identifica como software válido mostrando un Certificado Digital (auténtico) que ha sido robado a una empresa taiwanesa llamada C-Media International
    • Instala un keylogger para levantar todo lo que se escriba en ella
    • Revisa el contenido de la máquina infectada, y verifica si hay más máquinas vinculadas en una intranet.
    • Levanta información
    • La envía a un server en la India (que a estas alturas ya ha sido desconectado)

    ¿Por qué se llama DuQu?
    Se le ocurrió eso a los investigadores, luego de encontrar las letras “DQ” en el nombre de los archivos que graba en la máquina atacada.

    Datos interesantes:
    Este software verifica si la máquina infiltrada está conectada a Internet. Lo hace pidiendo conexión con “microsoft,com” y con la dirección IP 68.132.129.18. Como me picó la curiosidad, verifique que está registrada a nombre de UUNET Technologies, Inc. (la venerable UUNET, abuelita de la Web) y que su mail es del tipo “@verizonbusiness.com”. Mirá vos. Verizon.
    Antes de instalar más componentes, también revisa si hay antivirus instalado, usando una lista interna.
    Hasta ahora, decir que es un “ataque de Stuxnet 2”, no es correcto. Mejor es la definición de Symantec, que afirma que es un precursor de Stuxnet; tiene una cantidad de código interno que es muy similar, por lo cual ellos deducen que lo redactó el mismo equipo: pero su función no es arruinar ningún sistema de control industrial, sino infiltrarse y robar información.
    Algunas malas lenguas también mencionan la posibilidad de robar nada menos que el software que se usa para generar Certificado Digitales. Recordando el esfuerzo que durante este año pusieron varios hackers, para entrar en servidores de Autoridades Certificantes y hacer que desde esas máquinas se les expidieran Certificados válidos, el paso lógico siguiente sería “llevarse” el software de certificación y hacerlo trabajar en casa, tomando unos mates, para no correr el riesgo de que los agarren mientras están invadiendo un servidor ajeno.
    Veremos qué averiguo y les cuento un poco más.
    Bibliografía al día 19 de octubre:
    Lo que pude revisar y que es de dominio público fue posteado por McAfee aquí y por Symantec en esta página; el PDF con el informe completo, de donde saqué la dirección web de UUNET, fue cargado por Symantec acá. El vínculo entre esa dirección web y Verizon lo encontré en este foro; Ryan Naraine, de Kasperky Lab, hizo un resumen del tema en esta página; y en esta de la empresa Hispasec hay un excelente y preciso informe en español.

    Imagen extraida de Nueva Europa, Nueva Eurabia

      Tags:

    Dejar un Comentario

    Nombre (*)
    E-mail (*)
    URI
    Message
     

     
    • Categorías

    • Login

    • Tecnozona en Twitter

    • Tecnozona en Facebook