Duqu revient, plus sophistiqué

C’est en 2011 que Kaspersky a observé pour la première fois Duqu. Ce logiciel malveillant sophistiqué semble avoir été créé à partir de la même plateforme, dite « tilded », que Stuxnet, aux côtés d’autres projets. Fin février dernier, l’éditeur établissait même des liens entre les créateurs de cette plateforme et un groupe puissant, le groupe Equation, soupçonné d’être une émanation de la NSA. Des soupçons renforcés quelques semaines plus tard.

Les opérateurs de Duqu se seraient faits discrets après les révélations initiales. Mais pas au point de mettre un terme à leurs activités. Kasperky fait ainsi état « d’une nouvelle série d’attaques avec une version mise à jour de la version 2011 de Duqu ». Et de baptiser cette version Duqu 2.0, après l’avoir découverte dans l’un de ses bureaux en région Asie-Pacifique.

Son mode d’infection initial reste inconnu, mais Kasperky suspecte le recours à une faille inédite, la CVE-2014-4148. Une autre, la CVE-2014-6324, pour laquelle il existe une rustine depuis l’automne dernier, est utilisée par Duqu 2.0 pour obtenir des droits d’administrateur de domaine et se propager d’ordinateur en ordinateur, la charge utile était chiffrée suivant des algorithmes différents selon les cas.

L’essentielle de cette charge utile réside exclusivement en mémoire vive, s’exécutant dans l’ombre de processus légitimes liés à des suites de sécurité, et fournit des fonctions complètes d’accès à distance et d’espionnage – avec vol de mots de passe, collecte de l’inventaire des objets de l’annuaire Active Directory, exfiltration de fichiers, etc.

Dans leur rapport, les chercheurs de Kaspersky souligne là l’originalité principale de Duqu 2.0, une plateforme « conçue de telle manière qu’elle survit presqu’exclusivement dans la mémoire des systèmes infectées, sans besoin de persistance. Pour réaliser cela, les attaquants infectent les serveurs à haute disponibilité puis réinfectent les machines du domaine qui ont été désinfectées par un redémarrage ».

Les méthodes donc employés par les auteurs de Duqu 2.0 diffèrent de celles observées jusque là avec le groupe Equation. Kaspersky souligne d’ailleurs une « approche bien plus sophistiquée » et qui « démontre une autre mentalité », assorti d’un degré de confiance élevé, au moins dans la capacité à toujours accéder les failles inédites nécessaires au fonctionnement du logiciel malveillant et à « survivre dans un réseau complet d’ordinateurs compromis sans avoir recours à aucun mécanisme de persistance ». De quoi aussi améliorer la furtivité du logiciel malveillant.

S’il n’apparaît donc pas possible, pour l’heure, de dire si Duqu 2.0 est lié au groupe Equation, ses auteurs semblent bien travailler pour un état nation. Pour Kaspersky, « développer et opérer une campagne aussi professionnelle coûte extrêmement cher et nécessite des ressources au-delà de celles des cybercriminels communs ».

Les opérateurs de Duqu 2.0 semblent s’intéresser à deux types de cibles : des cibles utilitaires, leur permettant d’accéder à de nouvelles capacités techniques, comme la signature de code, ou bien à des cibles politiques. En particulier, Kaspersky souligne des infections liées aux négociations autour du nucléaire iranien ainsi qu’au 70^e anniversaire de la libération du camp d’Auschwitz-Birkenau.