El grupo de hackers detrás de Duqu puede haber estado trabajando en su código de ataque durante más de cuatro años, un nuevo análisis del troyano reveló el viernes.

Con sede en Moscú Kaspersky Lab publicó algunos resultados de hoy de un reciente arraigo a través de muestras Duqu proporcionados por los investigadores en el Sudán, diciendo que un controlador incluido con la carga de ataque fue elaborado en agosto de 2007, se extiende la línea de tiempo de trabajo de la banda.

“No podemos estar 100% seguro [de esa fecha], pero todas las fechas de los archivos compilados otros parecen coincidir con los ataques”, dijo Roel Schouwenberg, investigador senior de Kaspersky, en una entrevista. “Así que estamos inclinando hacia esa fecha como correcta.”

Schouwenberg agregó que en agosto de 2007 driver lo más probable es creado específicamente para Duqu por el grupo responsable de los ataques, y no un archivo off-the-shelf construido por otros, porque el conductor no ha sido visto en otros lugares.

Otros investigadores han encontrado los archivos entre los utilizados por Duqu que llevan a construir las fechas de febrero de 2008, pero los ataques reales han sido rastreados sólo hasta abril de 2011.

Ese fue también el mes en que las muestras de Sudán-que se dispone indica los ataques tuvo lugar frente a un objetivo no identificado en ese país, de acuerdo con Kaspersky, que informó de dos intentos separados – uno el 17 de abril, la segunda el 21 de abril – para plantar malware en PC con Windows.

El primer ataque fracasó porque el mensaje de correo electrónico que lleva un documento de Word maliciosos fue bloqueado por un filtro de spam y el segundo fue un éxito.

Microsoft ha confirmado que la campaña Duqu aprovecha una vulnerabilidad de Windows en un controlador en modo kernel – específicamente “W32k.sys”, y su motor de análisis de fuentes TrueType – para obtener los derechos en el ordenador comprometido suficiente para instalar el malware.

Aunque Microsoft todavía tiene que parchear el error, ha instado a los clientes para desactivar el analizador de la fuente para protegerse.

Otro descubrimiento notable fue que Kaspersky cada uno de los Duqu docena de ataques se sabe de utilizar un conjunto de hechos a medida de los archivos compilados inmediatamente antes de que el malware se dirige a un objetivo.

“Las diferencias son bastante menores, pero que están usando archivos únicos hechos a medida para cada operación”, dijo Schouwenberg. “Ataque de todos y cada uno tenía su propio comando y control [C & C] del servidor, con su ubicación incrustadas en los archivos”, explicó.

“Eso sugiere que son muy orientado a los negocios”, dijo Schouwenberg. “Son muy profesionales, muy pulido.”

Aunque el análisis más reciente de Kaspersky difiere en algunos aspectos de la realizada por otras empresas de seguridad – en particular de Symantec, que fue la primera en revelar la existencia de Duqu – ni Schouwenberg o un director de Symantec vio un conflicto.

“Cada empresa de seguridad cuenta con clientes diferentes, contactos diferentes, y con la participación limitada de las muestras, es posible que acaban de encontrar los primeros [code Duqu]", dijo Schouwenberg.

Symantec se hizo eco de eso.

"Hay múltiples variantes de Duqu y las muestras de Kaspersky han analizado simplemente reflejan este hecho", dijo Eric Chien, director técnico del grupo de Symantec Security Response, en un correo electrónico de respuesta a las preguntas de hoy. "Por lo tanto, no tenemos ninguna razón para creer que hay conflictos entre el análisis y el análisis publicado por Kaspersky. Su análisis se basa en las versiones anteriores, lo que explicaría la fecha anterior."

Duqu se ha caracterizado por Symantec y otros como un posible precursor de la próxima Stuxnet, el gusano ultra-sofisticado que el año pasado saboteó el programa nuclear de Irán.

Mientras que algunos han puesto en duda que, Kaspersky está firmemente en el campo de Stuxnet conexión.

"Este nuevo análisis nos ha hecho más seguros de que Duqu fue creado por la misma gente detrás de Stuxnet", dijo Schouwenberg.

Es cierto que existen diferencias - Stuxnet fue una herramienta de ataque, Duqu parece diseñado para ser parte de una operación de inteligencia - pero Schouwenberg dijo que había similitudes aún más. Una similitud tal: una línea entre Stuxnet y el proceso de Duqu de infección que, dijo, mostró a los autores de la antigua aprendido importantes lecciones que se aplica luego a la segunda.

"Aprendieron de Stuxnet, que era muy" ruidosa '", dijo Schouwenberg, refiriéndose a las infecciones generalizadas del gusano que muchos creen que se debió a un exceso de ganas atacantes que habían sido bloqueados en un intento anterior para infiltrarse en las instalaciones nucleares de Irán. Duqu adopta un enfoque mucho más prudente, que explota sólo un parche, o de "día cero" vulnerabilidad de Windows, no el récord de cuatro utilizados por la escopeta Stuxnet.

"Duqu es muy sofisticado", dijo Schouwenberg. "Algunos se han cometido errores en Stuxnet, pero todos esos errores se han ido ahora [en Duqu]."

Más información acerca de Duqu (descargar PDF) se puede encontrar en el sitio web del US-CERT, la agencia de ciber-defensa que es parte del Departamento de Seguridad Nacional, y en un informe actualizado de Symantec (descargar PDF).

Gregg Keizer cubre Microsoft, los problemas de seguridad, Apple, navegadores web y noticias sobre tecnología en general para romper Computerworld. Gregg seguir en Twitter en @ gkeizer, en Google + o suscribirte al feed RSS de Gregg. Su dirección de correo electrónico está gkeizer@computerworld.com.

Ver más artículos de Gregg Keizer.

Lea más acerca de delitos cibernéticos y la piratería en Delito Cibernético de Computerworld y tema del centro de hacking.