D’après les analystes de Kaspersky, la première écriture du code de Duqu (prononcez comme vous voulez) remonte à août 2007. Mais les premières attaques n’ont été recensées qu’à partir d’avril 2011. Microsoft a pour sa part confirmé que Duqu exploitait bien une vulnérabilité inconnue dans le kernel windows.
Kasperky a également montré que, sur la douzaine d’attaques étudiées, des fichiers spécifiques ont été créés par les hackers au cas par cas. Par ailleurs chaque attaque disposait de son propre serveur de commande et contrôle.
Les 12 serveurs répertoriés ont été nettoyés par les concepteurs de Duqu le 20 octobre dernier. Soit deux jours après que Symantec a publié son analyse sur cette attaque. Fait troublant, en Inde,l’un des serveurs les plus intéressants du point de vue criminologique a été nettoyé quelques heures seulement après que l’hébergeur a accepté d’ouvrir son contenu aux chercheurs.
Ces serveurs se trouvaient dans les pays suivant: Belgique, Inde, Pays Bas, Vietnam, Allemagne, USA, Singapour, Suisse, Corée du Sud. Le "vaisseau mère" fantôme (voir l’explication ici) n’a semble-t-il pas été identifié par les experts. Toutes les traces d’activité ont été effacées. Les hackers ont pris soin d’effectuer des vérifications minutieuses après le nettoyage des données. Il est possible qu’ils aient utilisé une faille inconnue de logiciels de cryptage open source pour prendre le contrôle de certains serveurs. Voire pour créer de nouvelles vulnérabilités…
En tout état de cause, tous les serveurs passés sous contrôle des hackers ont été élégamment dotés d’une protection spéciale pendant la durée de l’opération Duqu, afin d’éviter que les hackers ne se fassent hacker à leur tour.
Certains experts estiment que le cheval de Troie était destiné à recueillir des informations nécessaires à l’élaboration de futures attaques ciblées. Une hypothèse parmi d’autres.
L’Iran et le Soudan comptent parmi les cibles de Duqu. Sans qu’aucun dégât apparent n’ai été constaté. Le logiciel n’a pas fait l’objet de revendication particulière. Aucune piste n’existe quant aux auteurs de ce logiciel qui présente certaines similitudes avec Stuxnet. Les mobiles sont à ce jour inconnus. Tout le reste n’est que supputation.
L’Enisa, l’agence européenne de sécurité informatique, a déclaré hier dans un communiqué que l’Europe n’était pas prête à affronter un nouveau "Duqu". Les infrastructures critiques européennes seraient vulnérables et le management mal préparé à ce type d’attaques. Les éditeurs de sécurité s’attendent quant à eux à une recrudescence des attaques ciblées dans l’année à venir. "Encore une minute Monsieur le Bourreau…" aurait clamé la Du Barry au pied de l’échafaud. Mais il n’y a pas de quoi sourire. Peut-être n’est-il pas trop tard pour se réveiller (voir ici)…
*
Copyright NanoJV (reproduction non autorisée, extraits sourcés seulement).
*
*
*
*
Publié le 8 décembre 2011
0