Duqu est un ver informatique découvert le et que l'on présume lié à Stuxnet. Il est découvert par le Laboratoire de Cryptographie et de Sécurité Système (CrySyS Lab) de l'université polytechnique et économique de Budapest. Son nom provient du préfixe "~DQ" qu'il donne aux noms des fichiers qu'il crée.
Il aurait été créé par les services de renseignement israéliens[1].
Fonctionnement
Le terme Duqu recouvre plusieurs sens différents :
Le logiciel malveillant Duqu est un ensemble de composantes logicielles offrant une gamme de services à ses commanditaires. Actuellement, cela inclut des capacités de vol d'informations et, en arrière-plan, des pilotes noyau et des outils d'injections. Une partie de ce logiciel malveillant est codée dans un langage de programmation haut niveau baptisé « Duqu Framework ». Ce n'est pas du C++, du Python, de l'Ada, du Lua ni aucun autre des langages testés. Néanmoins, des recherches datant de suggèrent que Duqu pourrait avoir été codé en Object Oriented C (OOC) et compilé avec Microsoft Visual Studio 2008.
Comme Stuxnet, Duqu attaque Windows grâce à une vulnérabilité de type Zero-day.
Le premier installateur récupéré et révélé par CrySyS Lab, utilise un fichier Microsoft Word (.doc) qui exploite le moteur de traitement des polices TrueType de Win32k, permettant l'exécution arbitraire de code. L'installateur de Duqu se base sur l'intégration de police en utilisant une faiblesse de "T2EMBED.DLL" (qui est un moteur de traitement des polices intégrées). L'identificateur de la faille par Microsoft est MS11-087(première consultation datant du ).
Relation avec Stuxnet
Symantec, en se basant sur le rapport de CrySyS, a poursuivi l'analyse de la menace, qu'elle a décrit comme « presque identique à Stuxnet, mais à visée complètement différente » et a publié un papier technique détaillé à ce propos, doté d'une version raccourcie du rapport original de CrySyS en tant qu'appendice. Symantec estime que Duqu a été créé par les mêmes auteurs que Stuxnet ou en tous cas que ceux-ci avaient accès au code source de celui-ci. Le ver, tout comme Stuxnet, a une signature numérique valide, bien qu'abusive, et collecte des informations pour des attaques futures. Mikko Hyppönen, chef des recherches pour F-Secure, a dit que le pilote du noyau de Duqu, JMINET7.SYS était tellement proche de celui de Stuxnet, MRXCLS.SYS, que le système d'analyse de F-Secure a cru qu'il s'agissait de Stuxnet. Hyppönen a ajouté que la clé utilisée par Duqu pour générer sa propre signature (observée dans seulement un cas) a été volée à C-Media, située à Taipei. Les certificats de validité devaient expirer le mais ont été révoqués le , d'après Symantec.
Une autre source, Dell SecureWorks, rapporte que Duqu pourrait ne pas avoir de lien avec Stuxnet. Néanmoins, des indices importants rapprochent ces deux logiciels malveillants.
Les experts ont comparé les points communs de deux logiciels malveillants et en ont trouvé trois principaux :
L'installateur exploite des failles de type Zero day du noyau Windows.
Les composantes sont signées avec des clés numériques volées.
Les deux sont hautement ciblés contre le programme nucléaire iranien.
Objectifs
Duqu recherche des informations qui pourraient être utiles pour attaquer des systèmes de contrôle industriels. Son but n'est pas destructif, ses composantes essaient de rassembler des informations. Néanmoins, en se basant sur la structure modulaire de Duqu, un payload spécial pourrait être utilisé pour attaquer n'importe quel système informatique par différents moyens, et une attaque cyber-physique basée sur Duqu est donc possible. En outre, il s'est avéré qu'une utilisation sur un ordinateur personnel efface toutes les informations récentes entrées sur le système, et, dans certains cas supprime le contenu entier du disque dur.
Des communications internes de Duqu ont été analysées par Symantec mais la méthode exacte de duplication à travers un réseau n'est pas encore entièrement connue. D'après McAfee, une de ses actions est de voler les certificats numériques (et leur clés privées, relativement à la cryptographie à clé publique) des ordinateurs attaqués pour permettre à des futurs virus d'apparaître comme des logiciels sûrs. Duqu utilise une image JPEG de 54x54 pixels et des fichiers factices chiffrés comme conteneurs pour envoyer les données acquises à son serveur de commande et de contrôle. Des experts en sécurité sont encore en train d'analyser le code pour déterminer quelles informations ces communications contiennent. Des recherches ont indiqué que le logiciel malveillant se désinstalle automatiquement après 36 jours, ce qui limiterait sa détection.
Les points clés sont :
Duqu a été développé après Stuxnet et est basé sur le code source de ce dernier
Les exécutables sont conçus de manière à capturer les frappes de clavier et les informations systèmes
Les analyses actuelles n'ont pas trouvé de code en rapport avec le contrôle de systèmes industriels, des exploits, ou un clonage.
Les exécutables ont été trouvés dans un nombre limité d'organisations, incluant celles impliquées dans la fabrication de systèmes de contrôle industriel.
Les données exfiltrées pourraient être utilisées pour activer une future attaque de type Stuxnet ou avoir déjà été utilisées comme base pour celui-ci
Serveurs de commande et de contrôle
Certains serveurs de commande et de contrôle de Duqu ont été analysés. Il semblerait que les personnes ayant lancé les attaques auraient une prédilection pour les serveurs CentOS 5.x, menant certains chercheurs à croire qu'ils avaient trouvé un exploit zero-day pour ceux-ci. Les serveurs sont répartis dans différents pays, dont l'Allemagne, la Belgique, les Philippines et la Chine. Kaspersky a publié plusieurs articles de blog à propos de ces serveurs.
Notes et références
(en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Duqu » (voir la liste des auteurs).