El grupo de hackers detrás de Duqu puede haber estado trabajando en su código de ataque durante más de cuatro años, según reveló un nuevo análisis del troyano.
Kaspersky Lab, basado en Moscú, publicó algunos resultados de investigaciones reciente a muestras de Duqu proporcionados por investigadores en Sudán, en las cuales se halló que un controlador incluido fue elaborado en agosto de 2007, lo que extiende la línea de tiempo de trabajo de los ciberdelincuentes.
"No podemos estar 100% seguros [de esa fecha], pero todas las fechas de los archivos compilados parecen coincidir con los ataques", dijo Roel Schouwenberg, investigador senior de Kaspersky, en una entrevista. "Así que estamos inclinándonos hacia esa fecha como la correcta."
Schouwenberg agregó lo más probable es que el driver creado en agosto de 2007 fue desarrollado específicamente para Duqu por el grupo responsable de los ataques, y no se trata de un archivo construido por otros, porque no ha sido detectado en otros comportamientos de malware.
Otros investigadores han encontrado archivos utilizados por Duqu que fueron creados en febrero de 2008, pero los ataques reales han sido rastreados sólo hasta abril de 2011.
Ese fue también el mes en que se reportaron las muestras de Sudán –después de un ataque a un objetivo no identificado en ese país, de acuerdo con Kaspersky- para plantar malware en PCs con Windows, en dos ocasiones.
El primer ataque fracasó porque el mensaje de correo electrónico lleva un documento de Word malicioso que fue bloqueado por un filtro de spam, pero el segundo fue un éxito.
Microsoft ha confirmado que Duqu aprovecha una vulnerabilidad de Windows en un controlador en modo kernel -específicamente "W32k.sys", y su motor de análisis de fuentes TrueType- para obtener los derechos suficientes en el equipo comprometido para instalar el malware.
Aunque Microsoft todavía tiene que parchear el error, ha instado a los clientes a desactivar el analizador de la fuente para protegerse.
Otro descubrimiento notable de Kaspersky fue que cada ataque de Duqu debe utilizar un conjunto de archivos personalizados y compilados justo antes de que el malware se dirija a un objetivo.
"Las diferencias son bastante menores, pero están usando archivos únicos hechos a la medida para cada operación", dijo Schouwenberg. "Todos y cada uno de los ataques tenía su propio comando y control [C&C] del servidor, con su ubicación incrustada en los archivos", explicó.
"Eso sugiere que va muy orientado a los negocios", dijo Schouwenberg. "Son muy profesionales, es un trabajo muy pulido."
Aunque el análisis más reciente de Kaspersky difiere en algunos aspectos de los realizados por otras empresas de seguridad -en particular de Symantec, que fue la primera en revelar la existencia de Duqu- ni Schouwenberg ni un directivo de Symantec lo consideran contradictorio.
"Cada empresa de seguridad cuenta con clientes diferentes, contactos diferentes, y con la participación limitada de las muestras, es posible que hayamos encontrado las primeras muestras de código de Duqu", dijo Schouwenberg.
Symantec coincidió. "Hay múltiples variantes de Duqu y las muestras que Kaspersky ha analizado simplemente reflejan este hecho", dijo Eric Chien, director técnico del grupo de Symantec Security Response, en un correo electrónico. "Por lo tanto, no tenemos ninguna razón para creer que hay conflictos los análisis publicados. El suyo se basa en las versiones anteriores, lo que explicaría la fecha anterior."
Duqu ha sido clasificado por Symantec y otros como un posible precursor del próximo Stuxnet, el gusano ultra-sofisticado que el año pasado saboteó el programa nuclear de Irán.
Mientras que algunos han puesto en duda lo anterior, Kaspersky está firmemente convencido de la conexión con Stuxnet. "Este nuevo análisis nos ha dado más seguridad de que Duqu fue creado por la misma gente detrás de Stuxnet", dijo Schouwenberg.
Es cierto que existen diferencias -Stuxnet fue una herramienta de ataque, Duqu parece diseñado para ser parte de una operación de inteligencia- pero Schouwenberg dijo que había aún más similitudes, como una línea entre el proceso de infección de Stuxnet y Duqu la cual mostró que sus desarrolladores aprendieron importantes lecciones que aplicaron en la segunda creación.
"Aprendieron que Stuxne era muy ruidosa”, dijo Schouwenberg, refiriéndose a las infecciones generalizadas del gusano. Duqu adopta un enfoque mucho más prudente, que explota sólo un parche, o vulnerabilidad de Windows de "día cero", no el récord de cuatro utilizados por Stuxnet.
"Duqu es muy sofisticado", dijo Schouwenberg. "Cometieron algunos errores en Stuxnet, pero ya no están en Duqu."