Crecen las ramificaciones del virus Stuxnet

El alcance de Stuxnet es más amplio de lo que parecía. Según han confirmado Kaspersky Lab, este virus informático que el año pasado atacó el programa nuclear de Irán ha sido construido con el mismo código que el troyano para Windows Duqu y ya tiene un mínimo de tres familias de malware circulando por ordenadores de todo el mundo.

Aunque otros expertos en seguridad, como los del equipo NSS, ya habían teorizado anteriormente sobre el posible vínculo de Stuxnet y Duqu, hasta ahora la evidencia de una autoría común era inconclusa y se atribuía a un trabajo de ingeniería inversa.

Los resultados del examen realizado por Kaspersky sobre drivers utilizados en ambos tipos de malware, sin embargo, han sido contundentes: un único equipo de ciberdelincuentes está detrás de ellos, de acuerdo con las fechas de creación y el modo de interactuar con el resto de códigos maliciosos.

En concreto, ambos usan multitud de archivos que comienzan con el símbolo “~” y terminan con la letra “d”, lo que implica que fueron construidos con la plataforma común Tilded. Ésta apareció en 2007 y fue actualizada en 2010 para evitar las medidas de seguridad que se había implementado en su contra.

Además, el director de análisis e investigación global de Kaspersky, Costin Raiu, ha explicado a Reuters que tanto esta plataforma como los drivers involucrados en las distintas muestras han sido aprovechados para crear hasta cinco familias de malware diferentes (contando las dos ya mencionadas). Y que nuevas variedades podrían estar en construcción.

La modularidad de su sistema hace que sea tremendamente fácil para los desarrolladores de malware adaptar sus creaciones a nuevas técnicas y efectos prácticos, simplemente agregando o retirando piezas de software. “Es como un juego Lego”, compara Raiu. “Puedes ensamblar los componentes y convertirlos en cualquier cosa: un robot, una casa o un tanque”.