El peligroso virus y red zombie Stuxnet volvió, bajo el nombre de Duqu. Se trata de una amenaza creada para manejar remotamente los sistemas de control industriales y robar información.

Duqu podría repetir la experiencia de Stuxnet y jaquear los sistemas de control en empresas, gobiernos y autoridades militares de todo el mundo.

Los laboratorios de Symantec anunciaron que apareció un virus muy similar a Stuxnet, hallado en algunos sistemas informáticos europeos y que han decidido bautizar como “Duqu”, debido a que crea archivos con el prefijo “~DQ”. Y algunos de sus fragmentos son muy similares a Stuxnet, pero usados con diferentes fines.

Según Symantec, las muestras que recibieron de un laboratorio de investigación internacional que descubrió el virus indican que Duqu es el precursor de cómo serían los ataques similares a Stuxnet. Y habría sido creado por los mismos autores o por hackers que hayan tenido acceso a su código fuente.

“La finalidad de Duqu es recopilar datos de inteligencia y activos de las organizaciones, como el sistema de control industrial de los fabricantes, con el propósito de efectuar más fácilmente un ataque futuro contra terceros. Los atacantes buscan información, como documentos de diseño, que puedan ayudarlos a montar un futuro ataque en un centro de control industrial”, indica el reporte de Symantec.

Duqu no contiene ninguna línea de código relacionada con los sistemas de control industrial. Es principalmente un troyano de acceso remoto que no se replica por sí solo. El sistema de telemetría de Symantec mostró que la amenaza fue colocada en un número pequeño de organizaciones. Y fue utilizado más que nada para instalar un grabador de pulsaciones de teclado y así acceder a información sensible.

Los sistemas de comunicación usados por Duqu son basados en los protocolos de la Web (HTTP y HTTPS) para conectarse a un servidor de comando y control, del cual pudieron descargar ejecutables adicionales para realizar acciones como ver el número de dispositivos conectados a la red, grabar pulsaciones de teclado y reunir información del sistema. Todos esos datos se guardaban en un archivo encriptado y comprimido que podían recuperar.

Symantec concluye el informe indicando que Duqu comparte código con Stuxnet, así que los creadores pudieron acceder al código fuente y no sólo a los archivos binarios compilados. Sólo que en lugar de sabotear un sistema de control industrial, lo que se busca ahora es acceder de manera remota. Y probablemente, se haya diseñado con la intención de crear un ataque de dimensiones similares al de Stuxnet.