• Tweet

Un grupo de hackers canceló una operación, borrando archivos y registros de sesión, sólo días después de que investigadores revelaron la existencia de una botnet.

Los hackers detrás de la botnet de Duqu cancelaron sus operaciones de espionaje, dijo hoy, un investigador de seguridad.

De acuerdo con Kaspersky Lab en Moscú, todos los archivos contenidos en los 12 servidores de comando-y-control de Duqu, fueron eliminados el 20 de octubre de 2011.

Esto sucedió, sólo dos días después de que la firma Symantec hiciera público su análisis de Duqu, un troyano capaz de unirse a una botnet y que, muchos expertos en seguridad consideran, comparte código y características comunes con Stuxnet, el gusano super-sofisticado que el año pasado saboteó el programa nuclear de Irán.

Duqu fue diseñado, comentó Symantec y Kaspersky, por hackers avanzados, probablemente respaldados por el gobierno de un país desconocido. A diferencia de Stuxnet, no fue diseñado para dañar las máquinas para el centrifugado del uranio enriquecido, sino para detectar instalaciones vulnerables y redes de computadoras como parte principal del desarrollo de otro gusano cuyo objetivo sean los sistemas control industrial.

“Creo que esta parte de la operacion Duqu está ahora cerrada”, dijo Roel Schouwenberg, investigador senior en Kaspersky, en una respuesta por correo a las preguntas de hoy. “[Pero] eso no quiere decir que una operación nueva/modificada pueda estar en marcha”.

Cada variante usó un servidor diferente

El miércoles por la mañana, otro experto de Kaspersky publicó una actualización a la investigación de la compañía referente a Duqu haciendo notar la limpieza que los hackers efectuaron.

De acuerdo con Kaspersky, cada variante de Duqu -hasta se conoce una docena- usaron un servidor comprometido diferente para administrar las Pcs infectadas con esa versión específica del malware. Esos servidores estaban localizados en Bélgica, India, Holanda y Vietnam, entre otros países.

“Los atacantes borraron cada servidor que utilizaron desde 2009,” comentó Kaspersky, refiriéndose al trabajo de limpieza mencionado anteriormente.

Rápidamente, los hackers actualizaron, en  cada uno de los servidores comprometidos, la versión de OpenSSH por Open BSD Secure Shell, - un conjunto de herramientas de código abierto para cifrar tráfico de Internet- a una nueva edición, reemplazando la versión 4.3 con la nueva 5.8.

A pesar de la existencia de reportes acerca de que OpenSSH contiene una vulnerabilidad de “día-cero”, - tal vez explotada por los hackers de Duqu para tomar el control de servidores legítimos y utilizarlos para su beneficio- Kaspersky rechazó eventualmente esa teoría, diciendo que era simplemente “abominable” contemplar esa idea.

Protegían servidores robados de otros criminales

Aún así, fue una de las dos razones por las que Schouwenberg propuso la rápida actualización de OpenSSH 5.8

“La suposición lógica es que estamos buscando una posible vulnerabilidad en la versión anterior y/o una característica agregada en la nueva versión que sea de utilidad para el atacante”, comentó Schouwenberg.

Al actualizar la posiblemente vulnerable OpenSSH 4.3, los desarrolladores de Duqu intentaron asegurarse que otros criminales no pudieran apoderarse de sus servidores robados.

Irán reconoció el año pasado que algunos sistemas, incluyendo los de sus instalaciones nucleares, fueron infectados con Stuxnet, y admitió hace dos semanas que Duqu se había hecho camino dentro de las computadoras del país.

Duqu ha sido rastreado como parte de ataques dirigidos a diversos países diferentes a Irán, incluyendo Sudán, y que quizá estuvieron en desarrollo desde agosto de 2007.