Menace informatique : Stuxnet enfante Duqu

Le par  |  10 commentaire(s)
Symantec-logo

Le très médiatisé ver informatique Stuxnet a peut-être trouvé son successeur avec Duqu qui est basé sur un code similaire.

Symantec-logoStuxnet 2, le fils de Stuxnet ou encore le précurseur d'une prochaine attaque de type Stuxnet. Les sociétés de sécurité rivalisent de qualificatifs pour caractériser la menace Duqu* suite à sa découverte par Symantec.

Stuxnet a beaucoup fait parler de lui l'année dernière. Sa conception très élaborée lui a permis d'exploiter plusieurs failles Windows. Une caractéristique extrêmement rare, dans la mesure où un malware se contente généralement d'exploiter une seule faille.

Stuxnet visait les systèmes de supervision industrielle et d'acquisition de données ( SCADA ) qui utilisent le logiciel WinCC de Siemens. L'Iran - avec des ordinateurs de la centrale nucléaire de Busher - semble avoir été la principale cible de Stuxnet, ce qui a relancé les suppositions d'une cyberattaque organisée par un État.

Des parties de Duqu contiennent du code source issue du dernier échantillon connu de Stuxnet, ce qui attire obligatoirement l'attention sur lui, même si son but paraît bien différent. Symantec souligne que Duqu ne contient pas de code relatif à des systèmes de contrôle industriel, et est avant tout une menace de type cheval de Troie ( et plus précisément Remote Acces Trojan ; accès à distance ) qui ne se réplique pas.

Duqu ne serait donc pas destiné à des opérations de sabotage industriel directes, mais plus à collecter des informations qui pourraient aider à mener ultérieurement des attaques à l'encontre d'installations industrielles.

Duqu possède des fichiers .sys ( drivers ) signés avec un certificat volé appartenant à une société taïwanaise dénommée C-Media Electronics Incorporation. Pour Stuxnet, des certificats avaient également été dérobés à des sociétés taïwanaises ( RealTek et JMicron ).

Les éditeurs d'antivirus mettent à jour leurs solutions pour détecter Duqu ( sous Windows ) qui a été repéré en Europe. À noter cette singularité de Duqu qui est programmé pour être actif pendant 36 jours, après quoi il s'auto-supprime. De quoi laisser moins de traces d'une infection.

* nom Duqu en rapport avec les fichiers au préfixe ~DQ créés lors de l'infection.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #848141
Avec un tel nom quels systèmes SCADA cible cet espion ?
Ceux de Marc Dorcel ?

db
Le #848201
Gageons qu'il fera son trou...
Le #848211
Ca sent effectivement le caca cette histoire.
D'ici à ce que l'auteur soit fesses-bouc il n'y a pas loin : piller les données personnelles c'est son job.

db
Le #848221
Ça a dû lui faire mal, à Stuxnet, quand même… je sais, la porte est grande ouverte, tout ça…
Le #848301
J'avais bien quelques vannes (cheval ... duqu ....), mais vous m'avez devancé là .
Le #848431
Ça va péter !
Je le sens ...

Db
Le #848481
Quand Stuxnet pleure, DuQu rit.
Db
Le #848511
Elle est large !
Db
Le #848521
Elle est folle !
Db
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]