O grupo hacker por trás do vírus Duqu pode ter trabalhado por mais de quatro anos no código utilizado para executar o ataque, de acordo com informações de analistas especializados.

A Kaspersky publicou algumas descobertas obtidas a partir de amostras do Duqu fornecidas por pesquisadores no Sudão, afirmando que um driver incluso na onda de ataques foi compilado em agosto de 2007, estendendo a linha do tempo do trabalho feito pelo grupo. 

“Não podemos afirmar com 100% de certeza, porém todos os dados compilados de outros arquivos parecem encaixar com os ataques”, afirmou Roel Schouwenberg, pesquisador-sênior da Kaspersky. “Estamos verificando se as informações são corretas”. Schouwenberg adicionou que o driver de 2007 foi criado especificamente para o Duqu pelo grupo responsável pelos ataques, e não feito por outros, porque não foi encontrado em nenhum outro lugar. Outros pesquisadores encontraram arquivos entre aqueles utilizados pelo Duqu que datam de fevereiro de 2008, entretanto as investidas foram registradas apenas em abril deste ano. 

Foi neste mês também que as amostras indicaram que os ataques foram direcionados a um alvo sem nome no Sudão, de acordo com a Kaspersky, que detectou duas tentativas separadas – em 17 e 21 de abril – para plantar o malware em PCs com Windows. O primeiro ataque falhou porque a mensagem de e-mail carregando o documento Word infectado foi bloqueado por um filtro de spam; já o segundo obteve sucesso. 

A Microsoft confirmou que o Duqu explora uma vulnerabilidade do driver de kernel-mode do Windows (“W32k.sys”, especificamente), e seu mecanismo de verificação da fonte TrueType, para conseguir os privilégios suficientes no computador para instalar o malware. Apesar de não disponibilizar uma solução para a falha, a empresa publicou um documento que mostra como os usuários podem desabilitar a verificação da fonte TrueType.

Customizado
Outra descoberta importante da Kaspersky foi que, para cada um dos ataques, foi utilizado um conjunto de arquivos personalizados, compilados no momentos antes do malware ser direcionado para o alvo. “As diferenças são muito pequenas, porém eles estão usando arquivos feitos especialmente para cada operação. Toda investida possui seu próprio servidor de comando e controle, com sua localização incorporada aos arquivos” explicou Schouwenberg. “Isso indica que eles estão voltados para empresas. São muito profissionais” continuou. 

O Duqu foi caracterizado pela Symantec (responsável pela descoberta da ameaça) e outras empresas de segurança como um possível sucessor do Stuxnet, um vírus ultra-sofisticado responsável por sabotar o programa nuclear iraniano. Enquanto alguns discutem essa possiblidade, a Kaspersky está certa de que existe uma relação. “Essa nova análise nos deixou mais confiantes de que o Duqu foi criado pelas mesmas pessoas por trás do Stuxnet” apontou Schouwenberg.

Um Stuxnet melhorado
Existem diferenças – o Stuxnet era uma ferramenta de ataque, enquanto que o Duqu parece ser desenvolvido para ser parte de uma operação de coleta de informações – no entanto Schouwenberg apontou outras características similares: uma linha entre o processo de infecção entre o Stuxnet e o Duqu mostra que os autores do primeiro aprenderam lições importantes, que foram aplicadas no segundo.

“Eles aprenderam com o Stuxnet, que era muito ‘barulhento’” definiu o especialista, referindo-se às infecções em larga escala que muitos acreditam ter acontecido devido à ansiedade muito grande dos invasores na tentativa de se infiltrar nas instalações nucleares do Irã. O Duqu tem uma aproximação muito mais cautelosa: ele se aproveita de apenas uma vulnerabilidade “0-day” [termo utilizado para definir falhas que ainda não foram identificadas] do Windows, e não quatro como foi feito com o Stuxnet. O Duqu é muito sofisticado; alguns erros foram feitos com o Stuxnet, entretanto todos essas falhas sumiram” concluiu Schouwenberg.