Los autores de Duqu 2.0 utilizaron un certificado de Foxconn robado

Una semana después del ataque del malware avanzado Duqu 2.0 ya se van conociendo más detalles del mismo. Han sido los propios investigadores de Kaspersky Lab los que han descubierto que los atacantes que están detrás de la amenaza utilizaron certificados digitales robados para intentar burlar sus defensas de seguridad, y que uno de los certificados utilizados en los ataques fue expedido a nombre de Foxconn, la compañía china que fabrica productos para Apple, Blackberry, Dell, y muchas otras empresas.

Al parecer el certificado de Foxconn se utilizo como parte de su técnica para conseguir tráfico malicioso dentro y fuera de las redes comprometidas. Debido a que el malware Duqu 2.0 no presenta un mecanismo persistente típico, los atacantes emplearon una variedad de métodos para garantizar que pudieran acceder a los sistemas según fuera necesario. Una de esas técnicas implica que los atacantes instalan controladores maliciosos en equipos de red, incluyendo firewalls, y luego los utilizan para redirigir el tráfico a un conjunto de puertos específico. Concretamente, el certificado de Foxconn robado fue utilizado para firmar el controlador malicioso el 19 de febrero, pero los investigadores de Kaspersky no creen que la propia Foxconn se haya visto comprometida.

La investigación ha desvelado asimismo que la forma en que los certificados digitales son utilizados por los autores de Duqu 2.0 es inusual. En lugar de utilizar un certificado para múltiples módulos o controladores, el grupo parece tener acceso a un considerable volumen de certificados robados y utilizan uno sólo una vez. Si esto es cierto, entonces significa que los atacantes podrían tener suficientes certificados digitales robados de otros fabricantes que están listos para ser utilizados durante el próximo ataque dirigido. Esto sería muy alarmante porque socava la confianza en los certificados digitales.