C’est Kaspersky Lab qui a pisté le nouveau Duqu après avoir découvert qu’il avait infecté ses propres systèmes. Selon le spécialiste en sécurité Kaspersky Lab, les attaques qui ont eu lieu en 2014 et en 2015 impliquaient une nouvelle version du malware Duqu. C’est au début du printemps que Kaspersky Lab a découvert que plusieurs de ses systèmes avaient été compromis par un malware et son enquête a permis d’identifier qu’il s’agissait du successeur du logiciel Duqu identifié pour la première fois en 2011 dans des actions de cyber espionnage. Selon les experts, ce malware est constitué d’un ensemble de petits logiciels très sophistiqués, est un parent de Stuxnet, le ver informatique développé par les États-Unis et Israël pour saboter le programme nucléaire iranien.
Plusieurs mois après sa découverte en 2011, des chercheurs en sécurité de différentes entreprises ont pisté les développements Duqu. Mais en 2012, le malware disparaît complètement de leurs radars, laissant penser aux chercheurs que le groupe à l’origine du malware avait décidé de lui trouver un successeur. Il apparaît aujourd’hui que les créateurs de Duqu ont effectivement mis au point une version encore plus sophistiquée de la plateforme de logiciels malveillants. Nommée Duqu 2.0, celle-ci ne fonctionne que dans la mémoire du système compromis et ne modifie pas les fichiers inscrits sur les disques, ni les paramètres du système. Kaspersky Lab estime que le groupe Duqu 2.0 a d'abord ciblé une personne travaillant dans l'un de ses bureaux dans la région Asie-Pacifique, probablement à la suite d’une campagne d’hameçonnage. Dans la mesure où l’ordinateur de la personne était parfaitement à jour au moment où il a été infecté par le malware, Kaspersky Lab pense que les cyberespions ont utilisé un exploit zero-day pour cibler une vulnérabilité jusqu'alors inconnue. « Les attaquants ont pu exploiter au moins une vulnérabilité zero-day corrigée mardi dernier par Microsoft, et éventuellement deux autres vulnérabilités qui ont été corrigées depuis, mais qui étaient marquées comme zero-day au moment où le groupe de cyber espions s’en est servi comme levier », ont déclaré dans leur rapport publié mercredi, les chercheurs de Kaspersky.
Les attaques Duqu 2.0 se sont multipliées
Les exploits zero-day sont très prisés des attaquants et ils se vendent très cher sur le marché noir. L'utilisation de plusieurs de ces exploits, combinée à la complexité de la plate-forme de logiciels malveillants - elle comporte plus de 100 plug-ins qui ont chacun une fonctionnalité différente - renforce l’hypothèse que Duqu 2.0 est le fruit d’un développement soutenu par un État-nation. Après avoir découvert la présence du ver dans ses propres systèmes, Kaspersky a scanné sa base clients partout dans le monde. L’entreprise a pu ainsi constater que Duqu 2.0 avait infecté plusieurs hôtels ayant accueilli les négociations entamés entre l'Iran et les États-Unis, l'Allemagne, la France, la Russie, le Royaume-Uni et la Chine (P5 +1) pour trouver une solution diplomatique au dossier nucléaire iranien. Une attaque par Duqu 2.0 a également été associée à un événement organisé pour le 70e anniversaire de la libération du camp de concentration d'Auschwitz-Birkenau. Selon les chercheurs de Kaspersky, les techniques utilisées par le groupe Duqu 2.0 sont en avance sur tout ce que l’on connaît aujourd’hui en termes de menace persistante avancée. « Son niveau de sophistication surpasse même ce qu’avait réussi le groupe Equation, considéré jusqu'à présent comme le groupe le plus sophistiqué de cyber espions », ont déclaré les chercheurs de Kaspersky.
Contrairement au malware du groupe Equation, qui utilise des mécanismes de persistance sur les systèmes infectés, Duqu 2.0 est capable de fonctionner uniquement en mémoire et il disparaît au redémarrage de la machine. Cette capacité à disparaître indique que les auteurs savent comment retrouver l'accès aux systèmes pour les réinfecter. « Les auteurs de Duqu 2.0 sont assez aguerris pour monter et gérer une opération globale de cyber espionnage uniquement en mémoire vive. La menace peut demeurer dans un réseau d'ordinateurs compromis sans s’appuyer sur aucun mécanisme de persistance », ont écrit les chercheurs de Kaspersky. La plupart des créateurs de malwares, y compris dans le cas des logiciels malveillants les plus sophistiqués comme celui développé par le groupe Equation, utilisent des algorithmes de chiffrement adaptés à leur stratégie. Dans le cas de Duqu 2.0, les algorithmes de chiffrement varient d'une situation à l’autre, et il est plus difficile d’établir des liens entre les infections. Kaspersky Lab n'a pas voulu spéculer sur le pays qui pourrait être derrière Duqu 2.0, mais le Wall Street Journal rapporte que selon d’anciens responsables du gouvernement américain, qui ont souhaité garder l’anonymat, Israël est probablement le pays à l’origine de Duqu.