Accueil🇫🇷Chercher

Duqu

Duqu est un ver informatique découvert le et que l'on présume lié à Stuxnet. Il est découvert par le Laboratoire de Cryptographie et de Sécurité Système (CrySyS Lab) de l'université polytechnique et économique de Budapest. Son nom provient du préfixe "~DQ" qu'il donne aux noms des fichiers qu'il crée.

Il aurait été créé par les services de renseignement israéliens[1].

Fonctionnement

Le terme Duqu recouvre plusieurs sens différents :

Le malware Duqu est un ensemble de composantes logicielles offrant une gamme de services Ă  ses commanditaires. Actuellement, cela inclut des capacitĂ©s de vol d'informations et, en arrière-plan, des pilotes noyau et des outils d'injections. Une partie de ce malware est codĂ©e dans un langage de programmation haut niveau baptisĂ© « Duqu Framework ». Ce n'est pas du C++, du python, de l'ada, du lua ni aucun autre des langages testĂ©s. NĂ©anmoins, des recherches datant de suggèrent que Duqu pourrait avoir Ă©tĂ© codĂ© en Object Oriented C (OOC) et compilĂ© avec Microsoft Visual Studio 2008.

Comme Stuxnet, Duqu attaque Windows grâce à une vulnérabilité de type Zero-day.

Le premier installateur récupéré et révélé par CrySyS Lab, utilise un fichier Microsoft Word (.doc) qui exploite le moteur de traitement des polices TrueType de Win32k, permettant l'exécution arbitraire de code. L'installateur de Duqu se base sur l'intégration de police en utilisant une faiblesse de "T2EMBED.DLL" (qui est un moteur de traitement des polices intégrées). L'identificateur de la faille par Microsoft est MS11-087(première consultation datant du ).

Relation avec Stuxnet

Symantec, en se basant sur le rapport de CrySyS, a poursuivi l'analyse de la menace, qu'elle a décrit comme "presque identique à Stuxnet, mais à visée complètement différente" et a publié un papier technique détaillé à ce propos, doté d'une version raccourcie du rapport original de CrySyS en tant qu'appendice. Symantec estime que Duqu a été créé par les mêmes auteurs que Stuxnet ou en tous cas que ceux-ci avaient accès au code source de celui-ci. Le ver, tout comme Stuxnet, a une signature numérique valide, bien qu'abusive, et collecte des informations pour des attaques futures. Mikko Hyppönen, chef des recherches pour F-Secure, a dit que le pilote du noyau de Duqu, JMINET7.SYS était tellement proche de celui de Stuxnet, MRXCLS.SYS, que le système d'analyse de F-Secure a cru qu'il s'agissait de Stuxnet. Hyppönen a ajouté que la clé utilisée par Duqu pour générer sa propre signature (observée dans seulement un cas) a été volée à C-Media, située à Taipei. Les certificats de validité devaient expirer le mais ont été révoqués le , d'après Symantec.

Une autre source, Dell SecureWorks, rapporte que Duqu pourrait ne pas avoir de lien avec Stuxnet. NĂ©anmoins, des indices importants rapprochent ces deux malwares.

Les experts ont comparé les points communs de deux malwares et en ont trouvé trois principaux :

  • L'installateur exploite des failles de type Zero day du noyau Windows.
  • Les composantes sont signĂ©es avec des clĂ©s numĂ©riques volĂ©es.
  • Les deux sont hautement ciblĂ©s contre le programme nuclĂ©aire iranien.

Objectifs

Duqu recherche des informations qui pourraient être utiles pour attaquer des systèmes de contrôle industriels. Son but n'est pas destructif, ses composantes essaient de rassembler des informations. Néanmoins, en se basant sur la structure modulaire de Duqu, un payload spécial pourrait être utilisé pour attaquer n'importe quel système informatique par différents moyens, et une attaque cyber-physique basée sur Duqu est donc possible. En outre, il s'est avéré qu'une utilisation sur un ordinateur personnel efface toutes les informations récentes entrées sur le système, et, dans certains cas supprime le contenu entier du disque dur.

Des communications internes de Duqu ont été analysées par Symantec mais la méthode exacte de duplication à travers un réseau n'est pas encore entièrement connue. D'après McAfee, une de ses actions est de voler les certificats numériques (et leur clés privées, relativement à la cryptographie à clé publique) des ordinateurs attaqués pour permettre à des futurs virus d'apparaître comme des logiciels sûrs. Duqu utilise une image JPEG de 54x54 pixels et des fichiers factices chiffrés comme conteneurs pour envoyer les données acquises à son serveur de commande et de contrôle. Des experts en sécurité sont encore en train d'analyser le code pour déterminer quelles informations ces communications contiennent. Des recherches ont indiqué que le malware se désinstalle automatiquement après 36 jours, ce qui limiterait sa détection.

Les points clés sont :

  • Duqu a Ă©tĂ© dĂ©veloppĂ© après Stuxnet et est basĂ© sur le code source de ce dernier
  • Les exĂ©cutables sont conçus de manière Ă  capturer les frappes de clavier et les informations systèmes
  • Les analyses actuelles n'ont pas trouvĂ© de code en rapport avec le contrĂ´le de systèmes industriels, des exploits, ou un clonage.
  • Les exĂ©cutables ont Ă©tĂ© trouvĂ©s dans un nombre limitĂ© d'organisations, incluant celles impliquĂ©es dans la fabrication de systèmes de contrĂ´le industriel.
  • Les donnĂ©es exfiltrĂ©es pourraient ĂŞtre utilisĂ©es pour activer une future attaque de type Stuxnet ou avoir dĂ©jĂ  Ă©tĂ© utilisĂ©es comme base pour celui-ci

Serveurs de commande et de contrĂ´le

Certains serveurs de commande et de contrôle de Duqu ont été analysés. Il semblerait que les personnes ayant lancé les attaques auraient une prédilection pour les serveurs CentOS 5.x, menant certains chercheurs à croire qu'ils avaient trouvé un exploit zero-day pour ceux-ci. Les serveurs sont répartis dans différents pays, dont l'Allemagne, la Belgique, les Philippines et la Chine. Kaspersky a publié plusieurs articles de blog à propos de ces serveurs.

Notes et références

Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplémentaires peuvent s’appliquer aux fichiers multimédias.