Des chercheurs en sécurité estiment que le trojan Duqu, souvent comparé à Stuxnet, est de retour après une absence de plusieurs mois. « Les concepteurs de Duqu ont recompilé un des composants du malware à la fin du mois de février », précise Liam O Murchu, directeur des opérations dans l'équipe de Symantec Security Response.
Le pilote système, qui s'installe par le malware dropper agent, est chargé de déchiffrer le reste du trojan et de placer certains éléments dans la mémoire du PC. Symantec a capturé un seul échantillon du pilote, qui a été compilé le 23 février 2012. La dernière mise à jour connue de ce pilote est datée du 17 octobre 2011. Liam O Murchu explique que la fonction de ce pilote est « plus ou moins la même » que sur les versions antérieures (octobre 2011 et fin 2010). Si le chercheur hésite à expliquer les raisons de ce retour de Duqu et la pause de 5 mois, des spécialistes de Kaspersky Lab émettent des hypothèses.
Contournement des logiciels de sécurité ou sophistication du trojan
Alexander Gostev, qui dirige la recherche de Kaspersky, pense que la modification du pilote a été réalisée pour contourner les logiciels de sécurité et les programmes anti-duqu comme le logiciel Open Source Duqu Detection Toolkit. Ce dernier a été créé en novembre dernier par CRYSYS, le laboratoire de cryptographie et des systèmes de sécurité de l'Université de technologie de Budapest. Il fut aussi le découvreur de Duqu. Le laboratoire a mis à jour son outil il y a deux semaines après la découverte de l'actualisation du pilote système du malware par Symantec. Selon Alexander Gostev, l'échantillon de ce pilote a été trouvé en Iran où la majorité des attaques connues ont eu lieu (11 sur les 52 recensées par Kaspersky). Le faible nombre d'attaques demeure un handicap pour reconstituer le puzzle Duqu.
Pour Liam O Murchu, cette évolution du pilote « montre que les personnes travaillent encore et comme Duqu est une attaque ciblée, il est probable que la recompilation vise une nouvelle victime. Cela signifie aussi que les créateurs du trojan ont amélioré les techniques depuis novembre et peut -être découvert une autre faille de type Zero-Day ». L'année dernière, Duqu avait utilisé une vulnérabilité dans le kernel de Windows, corrigée en décembre 2011.
Les spécialistes de la sécurité s'interrogent sur la variante de Duqu
Après 5 mois d'absence, des spécialistes de la sécurité ont trouvé une mise à jour d'un pilote du trojan Duqu qui date de la fin février 2012. Les chercheurs hésitent sur les raisons de ce silence et l'impact de cette découverte.