Recientemente se ha descubierto un sofisticado troyano llamado “Duqu” (algunos lo denominan Stuxnet 2.0), cuyos creadores son los mismos que los del gusano “Stuxnet”, se escribió en un lenguaje de programación hasta ahora desconocido.

El objetivo ahora sería diferente: robar información de los controles industriales en lugar de sabotearlos, y en infraestructura crítica, tales como centrales eléctricas, refinerías y oleoductos y su principal función es actuar como backdoor en el sistema para facilitar el robo de información privada y se detecto por primera vez en septiembre de 2011 aunque su primer rastro data de agosto de 2007 (según Kaspersky Lab). La mayoría de incidentes localizados a causa de este virus se encuentran en Irán. El objetivo principal de Duqu es el robo de información sobre los sistemas de control utilizados en varias industrias, así como la recogida de información acerca de las relaciones comerciales de una amplia gama de organizaciones iraníes.

El virus se está distribuyendo a través de correos electrónicos mediante adjuntos en formato de documentos de Microsoft Word, llegando tras la infección hasta controlar los servidores de la organización atacada. Utilizando un protocolo personalizado sobre HTTP o HTTPS, Duqu se comunica con el servidor de comando y control para descargar ejecutables, como malware capaces de grabar las teclas pulsadas en el teclado y otra información sensible para preparar futuros ataques.

El gran misterio sin resolver del troyano Duqu se refiere a cómo el programa malicioso se comunicaba con sus servidores de Comando y Control (C&C) una vez que infectaban la máquina de la víctima. El módulo de Duqu responsable de la interacción con el servidor C&C es parte de su Payload DLL (efecto producido por el virus).

Después de un análisis exhaustivo del Payload DLL, los expertos de Kaspersky Lab han descubierto que la sección específica interna que se comunica exclusivamente con el C&C, ha sido escrita en un lenguaje de programación desconocido (pero no es un lenguaje nuevo). Los expertos de Kaspersky Lab han nombrado a esta sección desconocida “Duqu Framework”.

Así, Duqu estaría escrito en lenguaje “C” y compilado con Visual Studio 2008 de Microsoft, aunque incluiría una extensión personalizada conocida como “OO C” para combinar programación orientada a objetos con C.

Por el lenguaje empleado, los investigadores aseguran que Duqu fue escrito por un programador o equipo profesional de la “vieja escuela” que no confían en compiladores como C++. Además, C, es altamente portable a otras plataformas, un plus para un troyano malicioso.

A diferencia del resto de Duqu, Duqu Framework no está escrito en C++ y no está compilado con Microsoft Visual C++ 2008. Es posible que sus autores utilicen un in-house framework para generar un código C intermedio, o que empleen otro lenguaje de programación completamente diferente. Sin embargo, los investigadores de Kaspersky Lab han confirmado que el lenguaje está orientado a objetos y realiza su propio conjunto de actividades relacionadas y adecuadas para aplicaciones de red.

El lenguaje de Duqu Framework es altamente especializado. Permite que el Payload DLL opere de forma independiente al resto de módulos Duqu y lo conecta a su C&C a través de varias vías, incluyendo Windows HTTP, conexiones de red y servidores proxy. También permite que Payload DLL procese peticiones HTTP del servidor de C&C directamente, transmitiendo copias de forma sigilosa de la información robada de la máquina infectada a la de C&C. Incluso puede distribuir carga maliciosa adicional a otras máquinas en la red, lo cual crea un entorno controlado y una discreta forma de propagación de infecciones a otros equipos.

“Dado el tamaño del proyecto Duqu, es posible que un equipo completamente diferente fuese responsable de crear Duqu Framework“, afirma Alexander Gostev, experto Jefe de Seguridad de Kaspersky Lab. “Con el altísimo nivel de personalización y exclusividad utilizado para crear el lenguaje de programación, es posible que se haya hecho no sólo para evitar que detectaran la operación de ciber-espionaje y las interacciones con el C&C, sino también para separar otros equipos internos de Duqu que han sido los responsables de escribir las partes adicionales del programa malicioso”.

De acuerdo con Alexander Gostev, la creación de un lenguaje de programación dedicado demuestra lo altamente cualificados que están los desarrolladores que trabajan en el proyecto, así como los importantes recursos financieros y laborales movilizados para garantizar la ejecución del proyecto.

VIDEOS:

MÁS INFORMACIÓN DETALLADA:

http://www.symantec.com

FUENTES:

http://tecno.americaeconomia.com, http://www.muycomputerpro.com