Expertos de Kaspersky Lab descubren un nuevo y desconocido lenguaje de programación empleado en la creación de Duqu
Expertos anti-malware de Kaspersky Lab han descubierto que parte del sofisticado Troyano Duqu, cuyos creadores son los mismos que los del gusano Stuxnet, se escribió en un lenguaje de programación hasta ahora desconocido. La finalidad principal de Duqu era actuar como backdoor en el sistema para facilitar el robo de información privada y se detectó por primera vez en septiembre de 2011, pero según datos de Kaspersky Lab, su primer rastro relacionado con el malware se remonta a agosto de 2007.
Los expertos de la compañía han captado más de una docena de incidentes que involucran a Duqu, y la gran mayoría de las víctimas están localizadas en Irán. Un análisis de sus actividades muestra que el principal objetivo de los ataques era robar información sobre los sistemas de control utilizados en varias industrias, así como la recogida de información acerca de las relaciones comerciales de una amplia gama de organizaciones iraníes
El gran misterio sin resolver del troyano Duqu se refiere a cómo el programa malicioso se comunicaba con sus servidores de Comando y Control (C&C) una vez que infectaban la máquina de la víctima. El módulo de Duqu responsable de la interacción con el servidor C&C es parte de su Payload DLL (efecto producido por el virus). Después de un análisis exhaustivo del Payload DLL, los expertos de Kaspersky Lab han descubierto que la sección específica interna que se comunica exclusivamente con el C&C, ha sido escrita en un lenguaje de programación desconocido. Los expertos de Kaspersky Lab han nombrado a esta sección se desconocida " Duqu Framework". A diferencia del resto de Duqu, Duqu Framework no está escrito en C++ y no está compilado con Microsoft Visual C++ 2008. Es posible que sus autores utilicen un in-house framework para generar un código C intermedio, o que empleen otro lenguaje de programación completamente diferente. Sin embargo, los investigadores de Kaspersky Lab han confirmado que el lenguaje está orientado a objetos y realiza su propio conjunto de actividades relacionadas y adecuadas para aplicaciones de red.
El lenguaje de Duqu Framework es altamente especializado. Permite que el Payload DLL opere de forma independiente al resto de módulos Duqu y lo conecta a su C&C a través de varias vías, incluyendo Windows HTTP, conexiones de red y servidores proxy. También permite que Payload DLL procese peticiones HTTP del servidor de C&C directamente, transmitiendo copias de forma sigilosa de la información robada de la máquina infectada a la de C&C. Incluso puede distribuir carga maliciosa adicional a otras máquinas en la red, lo cual crea un entorno controlado y una discreta forma de propagación de infecciones a otros equipos. "Dado el tamaño del proyecto Duqu, es posible que un equipo completamente diferente fuese responsable de crear Duqu Framework", afirma Alexander Gostev, experto jefe de seguridad de Kaspersky Lab. "Con el altísimo nivel de personalización y exclusividad utilizado para crear el lenguaje de programación, es posible que se haya hecho no sólo para evitar que detectaran la operación de ciber-espionaje y las interacciones con el C&C, sino también para separar otros equipos internos de Duqu que han sido los responsables de escribir las partes adicionales del programa malicioso".
De acuerdo con Alexander Gostev, la creación de un lenguaje de programación dedicado demuestra lo altamente cualificados que están los desarrolladores que trabajan en el proyecto, así como los importantes recursos financieros y laborales movilizados para garantizar la ejecución del proyecto. A Kaspersky Lab le gustaría hacer un llamamiento a toda la comunidad de programadores por si alguien reconoce al nuevo framework, herramientas o lenguaje de programación que pueda generar construcciones similares de código. Para ello pueden contactar con los expertos se la compañía para poder solucionar este profundo misterio de la saga Duqu. La versión completa del análisis del Duqu Framework de Igor Soumenkov y Raiu Costin se puede encontrar en Securelist: http://www.securelist.com/en/