L'éditeur de solutions de sécurité Kaspersky Labs a détecté que le malware Duqu avait contaminé des équipements informatiques au Soudan, mais aussi et surtout en Iran, ce dernier pays ayant été la cible principale de son prédécesseur, le cheval de Troie Stuxnet. Duqu a fait une entrée remarquée dans le secteur de la sécurité IT la semaine dernière lorsque le laboratoire de recherche hongrois Crysys a partagé son analyse de la menace avec les grands éditeurs d'antivirus dans le monde.
Considéré comme très proche du ver Stuxnet, conçu pour des actions de sabotage industriel et dont il emprunte le code et les fonctionnalités, Duqu se présente comme un framework flexible de diffusion de  malwares, utilisé pour l'exfiltration de données. Il comprend deux modules dont le principal est constitué de trois composantes : un logiciel pilote qui insère une DLL (bibliothèque dynamique) dans le système, cette dernière établissant la communication entre le serveur de commande et de contrôle (C&C) et le système pour enregistrer dans le registre ou exécuter des fichiers, et, enfin, un fichier de configuration. Le module secondaire est un logiciel espion qui enregistre les informations saisies sur le poste.
Le premier échantillon de ce malware a été montré au service VirusTotal le 9 septembre en Hongrie. Depuis, Kaspersky Lab en a identifié plusieurs variantes, certaines ayant été créées le 17 octobre et trouvées sur des ordinateurs au Soudan et en Iran. « Nous savons qu'il y a au moins 13 fichiers pilotes différents », ont indiqué les chercheurs de Kaspersky qui ajoutent n'en avoir trouvé que six.
Des incidents différenciés les uns des autres
Quatre incidents ont été détectés en Iran. Chacun d'eux est intéressant à sa façon, en dehors du fait qu'ils se sont produits dans un pays qui a été la première cible de Stuxnet. Dans un cas, deux ordinateurs infectés ont été localisés sur le même réseau, l'un d'eux recelant deux pilotes différents de Duqu. Dans un autre cas, le réseau auquel étaient raccordés les ordinateurs affectés a enregistré deux attaques qui ciblaient une faille exploitée à la fois par Stuxnet et par le ver Conficker.
Les chercheurs ne savent pas encore comment Duqu a atteint les systèmes ciblés. Par conséquent, ces attaques pourraient fournir une indication sur la façon dont l'infection s'est produite. « Duqu est utilisé pour des attaques dirigées vers des victimes soigneusement sélectionnées », selon Kaspersky. Toutefois, il n'y a pas d'élément permettant de dire que les victimes ont un lien avec le programme nucléaire iranien, comme c'était le cas avec Stuxnet, ou avec les autorités de certification (Certificate Authorities/CAs), comme pour les autres attaques en Iran, ni même avec d'autres industries particulières, comme le suggèrent certaines informations.
Des noms et des empreintes différentes
Il a par ailleurs été découvert que chaque infection Duqu est unique et que ses composantes présentent des noms et des empreintes différentes. « L'analyse du pilote igdkmd16b.sys montre une nouvelle clé de codage, ce qui signifie que les méthodes de détection existante de fichiers PNF (la DLL principale) sont inexploitables. Il apparaît évident que la DLL est encodée différemment dans chacune des attaques », ont spécifié les chercheurs de Kaspersky.
L'architecture de Duqu étant très flexible, celui-ci peut lui-même se mettre à jour, changer de serveur de contrôle et installer d'autres composants à n'importe quel moment. En fait, Kaspersky n'a trouvé le module espion d'origine sur aucun des systèmes infectés, que ce soit au Soudan ou en Iran. Cela signifie qu'il était encodé différemment, ou bien qu'il a été remplacé par un autre. « Nous ne pouvons pas écarter que le serveur C&C identifié en Inde ait été utilisé uniquement pour le premier incident connu [...] et qu'il y ait un serveur C&C pour chacune des cibles, en incluant celles que nous avons trouvées », ont également mentionné les chercheurs de Kaspersky. Ils pensent aussi que les personnes qui se trouvent derrière Duqu réagissent à la situation et ne vont pas s'arrêter. La chasse aux informations se poursuivant, de nouveaux éléments devraient être prochainement découverts.
Illustration : Les experts de Kaspersky présentent les éléments récupérés après certaines des attaques effectuées par Duqu en Iran (source : blog de securelist.com)
Le malware Duqu repéré en Iran et au Soudan
Chaque infection perpétrée par le logiciel malveillant Duqu serait unique, selon les experts de Kaspersky.