Duqu is back : Kaspersky Lab dévoile une cyberattaque ayant visé son propre réseau

Duqu 2.0, un malware extrêmement complexe exploitant jusqu’à trois failles zero-day a visé l’éditeur d’antivirus et plusieurs espaces numériques liés à l’ONU et aux discussions avec l’Iran sur son programme nucléaire.

Au début du printemps 2015, Kaspersky Lab aurait détecté une cyber-intrusion dans plusieurs de ses systèmes internes. Suite à cette découverte, l’entreprise a lancé une enquête, dont le résultat fut l’identification d’une nouvelle plate-forme de malware issue d’une des APT (menaces avancées persistantes) qui semble être plus complexe que d’habitude. Une attaque baptisée : Duqu. Kaspersky Lab pense que les auteurs étaient convaincus qu’ils ne pouvaient pas être découverts. En effet, l’attaque incluait des caractéristiques uniques, jamais vues auparavant, et n’a laissé presqu’aucune trace.

L’attaque a exploité des vulnérabilités zero-day (0day, faille informatique non publique, NDLR) et après avoir élevé le niveau de privilèges pour devenir administrateur domaine, elle s’est répandue dans le réseau via des fichiers MSI (Microsoft Software Installer), qui sont régulièrement utilisés par les administrateurs système pour déployer des logiciels sur des ordinateurs Microsoft distants. L’attaque n’a laissé derrière elle aucun fichier sur les disques durs et n’a modifié aucun paramètre système, rendant sa détection quasiment impossible. Le mode opératoire et la philosophie du groupe Duqu 2.0 indiquent un bond en avant d’une génération par rapport à tout ce qui a pu être observé en matière d’APT jusqu’à présent. Il semble que les auteurs de Stuxnet (qui seraient Israéliens et américains, NDLR) seraient proche de cette nouvelle attaque.

Les chercheurs ont également découvert que l’entreprise n’était pas la seule cible de ce puissant acteur. D’autres victimes ont été repérées dans les pays occidentaux, ainsi que dans certains pays du Moyen Orient et en Asie. Ainsi, certaines des nouvelles infections de 2014-2015 sont liées aux évènements du P5+1 (discussion sur le programme nucléaire iranien, NDR). Le pirate derrière Duqu semble avoir lancé des attaques contre les sites accueillant des pourparlers. En outre, le groupe Duqu 2.0 a lancé une attaque similaire en relation avec les célébrations de la libération du camp d’Auschwitz-Birkenau (sic!). De présumés pirates israéliens qui ont pris la main sur un certificat numérique appartenant à l’un des meilleurs fabricants de produits électroniques dans le monde, le Taïwanais Foxconn. Un moyen de détourner l’attention et faire croire que la Chine serait derrière ces attaques ?

Chose est certaine, derrière Duqu 1 et 2, ainsi que Stuxnet, les pirates ont exploité, à chaque fois, un certificat made in Taiwan. Les pirates en ont-ils encore beaucoup dans leur sac à malice ?  Les pirates se sont aussi intéressés aux hôtel logeant les différentes délégations et les espaces de conférences mis en place par l’ONU pour parler nucléaire avec l’Iran. Kaspersky a eu 12 de ses machines touchées.

Une attaque vraiment impressionnante ? Dans son fonctionnement, sans aucun doute. En ce qui concerne les 3 0days exploités, il faut rester plus modeste. Certains kits pirates en exploitent beaucoup plus.