McAfee dice que Duqu no es una amenaza

El proveedor de seguridad McAfee ha dicho a los servicios públicos, que el malware Duqu no representaba una amenaza,  preocupación que se planteó dada su similitud con el gusano Stuxnet, que atacó a los sistemas de control industrial en instalaciones nucleares de Irán el año pasado.
Durante una conferencia el día de ayer, David Hatchell, gerente de cuentas de servicios públicos de McAfee, dijo que no había “nada de qué preocuparse respecto a este punto”.

“Duqu no está dirigiéndose a sistemas de control industrial que conozcamos, ni tampoco lo está haciendo a alguna planta de energía, al menos en lo que nosotros sabemos”, dice Hatchell.

Mientras algunos expertos en seguridad creen que los creadores de Duqu y Stuxnet fueron los mismos, Duqu es incapaz de causar perturbaciones en los sistemas. Duqu fue capaz de capturar datos y transmisiones en Internet a través de un servidor de command and control  en alguna parte de la India. Symantec (NSDQ: SYMC), quien reportó el descubrimiento de Duqu la semana pasada, cree que este troyano estuvo dirigido hacia “un limitado número” de fabricantes de ICS, posiblemente para robar documentos diseñados para un ataque tipo Stuxnet en el futuro. Aunque, el propósito de Duqu continua en el misterio.

“Podemos claramente ver que esto es usado para el espionaje”, dijo Peter Szor, director senior de investigaciones en McAfee Labs, durante la conferencia. Diversas industrias han sido su objetivo, incluyendo una cadena de hoteles. Aunque todavía no existe una confirmación de Irán, las industrias militares en el país también pudieron haber sido el blanco. “Básicamente, el objetivo del malware aún es una especulación hasta este punto”, dijo.

Szor señaló que la compañía cree que los controladores de Duqu fueron compilados en noviembre de 2010. La parte de rastreo de teclado de Duqu, la cual registra las pulsaciones de teclas, fue recabada tres meses antes. Szor cree que variantes anteriores de Duqu pudieron haber sido usadas para robar datos y preparar el ataque de Stuxnet.  “Es por esto que creo, personalmente, que Duqu fue una pieza previa a Stuxnet”, puntualizó.

Variaciones de Duqu fueron confirmadas en Inglaterra, Irán y los Estados Unidos, algunos registros se reportaron en Austria, Hungría e Indonesia, señaló McAfee. Las similitudes con Stuxnet, incluyen la misma rootkit para ocultar el malware, usar una autoridad de certificado robada de Taiwán para habilitar la instalación y la configuración de un periodo de tiempo para la operación. Duqu fue programado para eliminarse a sí mismo 36 días después y el certificado fue robado desde C-Media Electronics, de acuerdo a McAfee.

Otro misterio es cómo Duqu se instala en los sistemas. El controlador del malware necesita una aplicación de instalación para ser útil. Así, el paquete es entregado a través de la Web o mediante el correo electrónico de un desconocido. “No hay signos de explotación de vulnerabilidades (en los sistemas de cómputo)”, señaló Szor.

Andrew Plato, presidente de Beaverton, dicen que Duqu no ha afectado a sus clientes. “No ha creado realmente un gran problema entre nuestros clientes, aunque esto no significa que no sea serio o importante”, apuntó. Symantec recogió una muestra de Duqu el 14 de octubre de un laboratorio de investigación que recibió el malware de sistemas computacionales localizados en Europa, reportando las pesquisas días después. Symantec y McAfee afirman que sus antivirus son capaces de prevenir a Duqu si se encuentran instalados.

Sutxnet, primero descubierto en junio de 2010, se dirigió al equipo industrial de Siemens que ejecuta Windows de Microsoft (NSDQ: MSFT). Symantec estimó que al menos 60 por ciento de los sistemas infectados por la red se encontraban en Irán. Mientras no exista una confirmación de Irán, los expertos creen que los sistemas de control en las instalaciones nucleares de ese país continuaran dañadas.

 Fuente