El sofisticado malware que se infiltró en las redes de la compañía antivirus Kaspersky está firmado y utiliza certificados digitales legítimos para pasar inadvertido.

De acuerdo al análisis realizado, los creadores de Duqu 2.0, una amenaza avanzada persistente (APT, por sus siglas en inglés) utilizaron certificados legítimos emitidos a la compañía manufacturera Foxconn por VeriSign, entidad certificadora raíz, para firmar la muestra de malware, hacerlo pasar como un componente de software legítimo y evitar la detección por algún antivirus o por el mismo sistema operativo del equipo infectado.

La familia de sistemas operativos Windows de Microsoft confía en los certificados emitidos por VeriSign, por lo que identificaban al malware cómo un driver legítimo. Los atacantes ganaban control total sobre las máquinas pues el driver se carga a nivel de kernel.

De acuerdo a los investigadores de Kaspersky, es posible que los certificados utilizados por los creadores de Duqu 2.0 sean producto del robo de las llaves privadas y certificados emitidos a Foxconn para firmar piezas de software. La filtración de estos componentes clave demerita el uso de certificados digitales como una herramienta confiable para validar piezas de código, ya que, si no se garantiza la seguridad de las llaves privadas y los certificados, no es posible asegurar que un programa es legítimo.

La firma antivirus informó a Foxconn y VeriSign sobre los hallazgos arrojados durante la investigación antes de publicarlos en su blog. Entre los hallazgos más importantes se encuentra la explotación de tres vulnerabilidades de día cero y el uso de la memoria volátil como único medio de almacenamiento del malware, no escribe datos en el disco duro. Esta muestra de código malicioso es vista como una evolución del gusano Duqu, una herramienta de espionaje descubierta en 2011 y ligada a Stuxnet, otro complejo APT. Las características de Duqu 2.0 sugieren que este APT es producto del trabajo de alguna agencia de inteligencia de un país no identificado.