Malware denominado “DuQu” pode representar o ressurgimento do “Stuxnet” e ameaçar sistemas de controle de empresas.

New StuxnetUm código malicioso, que pode ter sido um esforço ultrassecreto para impedir o programa nuclear iraniano, parece estar de volta ao cenário mundial, mas desta vez sem a intenção de se tornar uma ameaça para as ambições globais dos aiatolás.
A “Symantec” alertou para esta nova ameaça na terça-feira passada em um blog da empresa, após um cliente, cujo nome não foi informado e sendo apenas citado como um laboratório de pesquisas com fortes conexões internacionais, fornecer amostras de um código que poderia ser o próximo “Stuxnet”.
“Duqu” é um cavalo de Tróia de acesso remoto, ou “Remote Acess Trojan”, que coleta informações a serem usadas em posteriores ataques.
Variantes da ameaça, apelidado de “Duqu” (pronunciado DYU-Kyu) porque seus arquivos carregam o prefixo “DQ”, foram detectadas na segunda-feira.
“Duqu” parece ter sido destinado a afetar um número limitado de empresas de manufatura.
As amostras analisadas foram recuperadas a partir de sistemas na Europa, tendo a empresa “Symantec”, que tem sede em Mountain View, na Califórnia, confirmado que partes do vírus são quase idênticas às do “Stuxnet”, ameaça que causou o caos para o programa de enriquecimento de urânio do Irã no verão de 2010.
Naquela oportunidade sistemas rodando software industrial da empresa “Siemens” foram afetados, mas uma vez que 60 por cento dos computadores infectados estavam no Irã, houve grande especulação por especialistas de segurança que aquele código malicioso teria sido criado por agentes de inteligência americanos ou israelenses, ou com a colaboração de ambos.
Guardadas as proporções para o caso envolvendo o “Stuxnet”, as intenções do “Duqu” são mais amorfas, o que movimentou os especialistas em segurança de computador intrigados não apenas para identificar e combater o vírus, mas para decifrar qual seria o seu objetivo.
“Do ponto de vista de análise de código é bastante claro que os autores do “Duqu” tiveram acesso a pelo menos parte do código fonte do Stuxnet”, afirmou o analista sênior da empresa de segurança Sophos, Chet Wisniewsky.
Ainda segundo Chet, não se pode afirmar que se trate do mesmo grupo que desenvolveu o “Stuxnet” ou quais são as suas intenções, até porque este malware pode baixar componentes adicionais, o que torna muito mais difícil determinar seus objetivos.
Segundo a Symantec, o “Duqu” seria essencialmente o precursor de um ataque futuro, devendo ter sido escrito pelos mesmos autores do “Stuxnet” ou alguém que tenha tido acesso a seu código-fonte, com aparente indicação de ter sido criado desde que o último arquivo daquele Trojan foi recuperado.
“Duqu” é projetado para gravar comandos de teclado e recolher outras informações dos sistemas de controle de empresas na área industrial e em seguida, enviar essa informação para quem o implantou, tendo assim a finalidade de recolher dados de inteligência e os ativos destas empresas, para mais facilmente conduzir a um futuro ataque.
Os atacantes estariam à procura de informações, tais como documentação de projetos, as quais poderiam ajudá-los a montar futuros ataques a instalações de controle industrial. ”
Segundo a “Symantec”, embora os recursos do Stuxnet tivessem a intenção de sabotar um sistema de controle industrial, os recursos do “Duqu” estão muito mais voltados a acesso remoto de sistemas.
A “Symantec” disse que esta nova ameaça destina-se a um número limitado de organizações, muito embora outras possam estar sob ataque sem que ainda tenha sido detectado.
Na terça-feira, a “Symantec” disse que parte do malware havia estaria ligada a um cliente Symantec em Taipei, Taiwan, o que levou a empresa a revogar o certificado de assinatura de código daquele cliente, muito embora se acredite que o código tenha sido roubado e não gerado para fins de “hacking”.
Uma outra empresa de segurança cibernética, a “F-Secure”, também examinou o “Duqu” e disse em seu site que partes do seu código eram tão semelhante ao “Stuxnet” que seu sistema de detecção de vírus acreditava estar lidando com o mesmo vírus novamente.
O “Department of Homeland Security’s Industrial Control Systems Cyber Emergency Response Team” dos Estados Unidos lançou um alerta para “os proprietários e operadores de infra-estrutura crítica” alertando sobre o “Duqu” e instando-os a tomarem medidas para proteger seus sistemas.

Deixe uma resposta