Duqu

De M82 - DIMA's wiki
Aller à la navigation Aller à la recherche

Logiciel malveillant*, dont certaines caractéristiques se rapprochent de Stuxnet*, qui a été une première fois découvert au mois de septembre 2011 par le laboratoire CrySyS Lab. Baptisé Duqu, car le cheval de Troie* créait des fichiers avec des extensions de type DQ dans leur nommage, son objectif est de collecter des informations sur les systèmes de contrôle industriels dans le but de conduire ultérieurement des attaques. Offrant une large gamme de services, il s’agit clairement d’un outil de « reconnais¬sance », étant du type RAT* (cheval de Troie). L’outil ne se reproduit pas mais semble, selon les recherches conduites pas Symantec, avoir visé un nombre très limité de machines et donc être particulièrement ciblé. En dépit de sa première détection au mois de septembre 2011, les analystes estiment que des attaques utilisant cet outil ont pu être lancées dès le mois de décembre 2010 (rendant alors la filiation avec Stuxnet encore plus probable). Duqu se présente en effet comme un module adaptable avec une architecture assez souple. Les informations ainsi collectées étaient ensuite placées et chiffrées dans un fichier compressé, stocké localement, avant d’être exfiltré. L’étude a révélé l’utilisation de fichiers photos au format JPG* pour conduire l’exfiltration de données. En revanche, Duqu présente une caractéristique notable d’auto-désinstallation. En effet, le trojan* était configuré pour fonctionner durant 36 jours avant de se désinstaller du système. Enfin, le vecteur d’attaque n’avait, une fois encore, rien d’extra¬ordinaire puisqu’à l’origine de la diffusion on retrouve une campagne de « spear-phishing* » ciblée avec un document Microsoft Word corrompu. Une fois la pièce jointe ouverte par l’utilisateur, deux fichiers exécutables sont déchiffrés, un lecteur (driver) et un module d’installation d’une bibliothèque de liens dynamiques (DLL*). Le lecteur injecte alors le code qui exécute l’installation. Ce mécanisme utilise, à l’image de Stuxnet , une vulnérabilité du noyau Windows de type « zéro-day »*. Enfin, au mois de juin 2015 une nouvelle variante a été découverte par le laboratoire Kaspersky dans ses propres systèmes d’information, mais également chez une centaine d’autres victimes (dont certaines en lien avec les négociations sur le nucléaire iranien). Cette dernière variante est appelée Duqu 2.0.

Duqu

Au mois de septembre 2011, Duqu, un outil de cyberespionnage est détecté en Iran et au Soudan.

  • Type de malware : RAT, Remote Access Trojan.
  • Objectif : Cyberespionnage.
  • Cible : Programme nucléaire iranien.
  • Date de création : estimée au mois de novembre 2010.
  • Date de détection : septembre 2011, par le laboratoire de cryptographie et de sécurité de l’université polytechnique et économique de Budapest (CrySyS Lab). Symantec et F-Secure ont également analysé cette attaque et produit des rapports très élaborés.
  • Versions connues : Une quinzaine.
  • Taille : 300 kb.
  • Caractéristiques principales : Duqu est rapidement présenté comme « très proche » de Stuxnet mais avec un objectif totalement différent. Symantec conclut dans son rapport qu’il s’agit ici du précurseur du futur Stuxnet. Duqu, serait donc une opération de reconnaissance avant une nouvelle opération de sabotage. Plusieurs systèmes de commande et de contrôle (C&C) ont pu être identifiés en Inde, Belgique et Vietnam. La localisation de ces serveurs n’apporte toutefois aucun élément sur la nationalité de l’attaquant.
Récupérée de « https://diod.m82-project.org/index.php?title=Duqu&oldid=1049 »