Un malware d’une complexité égale à Stuxnet vient d’être dévoilé par Symantec. Son but n’est pas d’attaquer les systèmes industriels mais de collecter des informations afin de mener ces attaques.
Une chose est certaine : il n’a pas été demandé quoi que ce soit aux francophiles travaillant chez Symantec avant de baptiser la bestiole. Car ce ver répond au doux nom de Duqu, ce qui ne fait pas très sérieux pour un malware supposé être très dangereux. Ceci mis à part, les chercheurs de Symantec disent avoir été alertés par un laboratoire de recherche disposant de bonnes connexions internationales qu’un nouveau malware très similaire à Stuxnet venait de faire son apparition. Le nom de baptême a été choisir car les fichiers qu’il crée disposent tous du même préfixe DQ. Après analyse des échantillons découverts sur des systèmes informatiques en Europe, Symantec est en mesure de confirmer que des morceaux de Duqu sont pratiquement identiques à Stuxnet mais avec un objectif radicalement différent.
Sur son blog, Symantec précise que ce ver est le précurseur d’une nouvelle attaque « à-la-Stuxnet » et qu’il a été écrit par les mêmes personnes ou par des individus ayant accès au code source de Stuxnet. Le spécialiste en sécurité indique que l’objectif du ver est de collecter des données en provenance d’entreprises comme des fabricants de systèmes industriels de contrôle, ceci afin de conduire une attaque dans le futur contre d’autres entreprises utilisatrices de ces systèmes. Les informations que le ver cherche à collecter concernent notamment des documents relatifs à la conception de ces systèmes industriels.
Duqu : un Remote Access Trojan
Symantec indique qu’il s’agit d’un cheval de Troie de type Remote Access Trojan (RAT) et qu’il vise des équipements très spécifiques. Toutefois, il est précisé que des variantes, non découvertes jusqu’à présent, pourraient viser d’autres fabricants. A ce jour deux variantes ont été découvertes avec des binaires datant du 1er septembre 2011. Toutefois, Symantec précise que sur la base des fichiers de compilation, les attaques ont pu être menées depuis le mois de décembre 2010, soit voici près d’un an et quelques mois après la découverte de Stuxnet.
Comme cheval de Troie, Duqu a pour objectif d’installer un autre code malveillant qui capture et transmet les entrées clavier et permet ainsi un accès au système d’information pour une future attaque. L’une des variantes est signée d’un certificat numérique valide expirant le 2 août 2012 et appartenant à une entreprise située à Taïwan. Ce certificat a été révoqué le 14 octobre dernier.
Symantec précise que le Troyen utilise les protocole HTTP et HTTPS pour communiquer avec un serveur de commande & contrôle (C&C) qui était toujours opérationnel en fin de semaine dernière. Ainsi, les attaquants pouvaient télécharger des exécutables directement depuis leur serveur C&C et récupérer les informations collectées par l’infostealer. Le processus utlise un protocole C&C qui télécharge dans les deux sens des fichiers JPG. Mais des données additionnelles sont également téléchargées de manière encryptée. Le tout fonctionne sur une durée de 36 jours et après la menace s’autodétruit.
Symantec précise que si le malware est très similaire à Stuxnet dans son code, son objectif est très différent. Stuxnet visait clairement à saboter un système de contrôle industriel. Duqu lui collecte des données. L’analyse du ver fait dire à Symantec que les pirates disposent du code source de Stuxnet et pas seulement des fichiers binaires. Des informations complémentaires sont accessibles à cette adresse.
Source : L’Informaticien
Les commentaires sont fermés.