Pour McAfee, Duqu vise d’abord les autorités de certification

Le descendant de Stuxnet, récemment identifié par Symantec, pourrait bien ne pas viser les équipementiers Scada, comme le pense l’éditeur. Du moins c'est ce que pensent savoir les experts de McAfee, Guilherme Venere et Peter Szor, qui développent leur argumentaire dans un billet de blog.

Tout d’abord, Duqu «ne dispose pas des fonctionnalités [permettant d’agir sur les contrôleurs à logique programmable, ou PLC, NDLR] de Stuxnet ». Mais le lien de parenté n’en est pas moins établi : «le code, installé par un exploit, installe des pilotes et des librairies [DLL] chiffrées qui fonctionnent de manière très similaire au code original de Stuxnet.» Duqu communique avec un serveur de contrôle «situé en Inde» - dont l’adresse IP a été blacklistée chez le fournisseur d’accès local - et son code est «signé par C-Media Electronics, à Taipei ». Certificat qui a, depuis, été révoqué par VeriSign. 

Pour McAfee, Duqu est utilisé dans des attaques qui visent «les autorités de certifications dans les régions où est présente le chacal doré (canis aureus) », à savoir une large part du Nord de l’Afrique, des Balkans et du Moyen-Orient, jusqu’à l’Inde. Toutefois, les experts de l’éditeur n’excluent pas d’autres cibles dont des systèmes industriels, «pour opérer des attaques ciblées professionnelles ».