Duqu

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

Duqu est un ver informatique découvert le et que l'on présume lié à Stuxnet. Le Laboratoire de Cryptographie et de Sécurité Système (CrySyS Lab) de l'université polytechnique et économique de Budapest a découvert la menace, analysé le Logiciel malveillant et rédigé un rapport de 60 pages le nommant Duqu. Ce nom provient du préfixe "~DQ" que le malware donne aux noms des fichiers qu'il crée.

Nomenclature[modifier | modifier le code]

Le terme Duqu recouvre plusieurs sens différents :

  • Le malware Duqu est un ensemble de composantes logicielles offrant une gamme de services à ses commanditaires. Actuellement, cela inclut des capacités de vol d'informations et, en arrière plan, des pilotes noyau et des outils d'injections. Un partie de ce malware est codée dans un langage de programmation haut niveau baptisé "Duqu Framework". Ce n'est pas du C++, du python, de l'ada, du lua ni aucun autre des langages testés. Néanmoins, des recherches datant de Mars 2012 suggèrent que Duqu pourrait avoir été codé en Object Oriented C (OOC) et compilé avec Microsoft Visual Studio 2008.
  • La faille Duqu est un faille de Microsoft Windows utilisée dans des fichiers malveillants pour exécuter les composantes de Duqu. Actuellement (2012), une seule faille est connue, en rapport avec les polices TrueType dans win32K.sys.
  • L'opération Duqu est le processus d'utilisation de Duqu dans un but encore inconnu. L'opération pourrait être en relation avec Stuxnet.

Relation avec Stuxnet[modifier | modifier le code]

Symantec, en se basant sur le rapport de CrySyS, a poursuivi l'analyse de la menace, qu'elle a décrit comme "presque identique à Stuxnet, mais à visée complètement différente" et a publié un papier technique détaillé à ce propos, doté d'une version raccourcie du rapport original de CrySyS en tant qu'appendice. Symantec estime que Duqu a été créé par les mêmes auteurs que Stuxnet ou en tous cas que ceux-ci avaient accès au code source de celui-ci. Le ver, tout comme Stuxnet, a une signature numérique valide, bien qu'abusive, et collecte des informations pour des attaques futures. Mikko Hyppönen, chef des recherches pour F-Secure, a dit que le pilote du noyau de Duqu, JMINET7.SYS était tellement proche de celui de Stuxnet, MRXCLS.SYS, que le système d'analyse de F-Secure a cru qu'il s'agissait de Stuxnet. Hyppönen a ajouté que la clé utilisée par Duqu pour générer sa propre signature (observée dans seulement un cas) a été volée à C-Media, située à Taipei. Les certificats de validité devaient expirer le 2 août 2012 mais ont été révoqués le 14 octobre 2011, d'après Symantec.

Une autre source, Dell SecureWorks, rapporte que Duqu pourrait ne pas avoir de lien avec Stuxnet. Néanmoins, des indices importants rapprochent ces deux malwares.

Les experts ont comparé les points communs de deux malwares et en ont trouvé trois principaux :

  • L'installateur exploite des failles de type Zero day du noyau Windows.
  • Les composantes sont signées avec des clés numériques volées.
  • Les deux sont hautement ciblés contre le programme nucléaire iranien.

L'exploit zero-day de Microsoft Word[modifier | modifier le code]

Comme Stuxnet, Duqu attaque Microsoft Windows grâce à une vulnérabilité de type Zero-day. Le premier installateur récupéré et révélé par CrySyS Lab, utilise un fichier Microsoft Word (.doc) qui exploite le moteur de traitement des polices TrueType de Win32k, permettant l'exécution arbitraire de code. L'installateur de Duqu se base sur l'intégration de police en utilisant une faiblesse de "T2EMBED.DLL" (qui est un moteur de traitement des polices intégrées). L'identificateur de la faille par Microsoft est MS11-087(première consultation datant du 13 novembre 2011).

Objectifs[modifier | modifier le code]

Duqu recherche des informations qui pourraient être utiles pour attaquer des systèmes de contrôle industriels. Son but n'est pas destructif, ses composantes essaient de rassembler des informations. Néanmoins, en se basant sur la structure modulaire de Duqu, un payload spécial pourrait être utilisé pour attaquer n'importe quel système informatique par différents moyens, et une attaque cyber-physique basée sur Duqu est donc possible. En outre, il s'est avéré qu'une utilisation sur un ordinateur personnel efface toutes les informations récentes entrées sur le système, et, dans certains cas supprime le contenu entier du disque dur.

Des communications internes de Duqu ont été analysées par Symantec mais la méthode exacte de duplication à travers un réseau n'est pas encore entièrement connue. D'après McAfee, une de ses actions est de voler les certificats numériques (et leur clés privées, relativement à la cryptographie à clé publique) des ordinateurs attaqués pour permettre à des futurs virus d'apparaître comme des logiciels sûrs. Duqu utilise une image JPEG de 54x54 pixels et des fichiers factices cryptés comme conteneurs pour envoyer les données acquises à son serveur de commande et de contrôle. Des experts en sécurité sont encore en train d'analyser le code pour déterminer quelles informations ces communications contiennent. Des recherches ont indiqué que le malware se désinstalle automatiquement après 36 jours, ce qui limiterait sa détection.

Les points clés sont :

  • Duqu a été développé après Stuxnet et est basé sur le code source de ce dernier
  • Les exécutables sont conçus de manière à capturer les frappes de clavier et les informations systèmes
  • Les analyses actuelles n'ont pas trouvé de code en rapport avec le contrôle de systèmes industriels, des exploits, ou un clonage.
  • Les exécutables ont été trouvés dans un nombre limité d'organisations, incluant celles impliquées dans la fabrication de systèmes de contrôle industriel.
  • Les données exfiltrées pourraient être utilisées pour activer une future attaque de type Stuxnet ou avoir déjà été utilisées comme base pour celui-ci

Serveurs de commande et de contrôle[modifier | modifier le code]

Certains serveurs de commande et de contrôle de Duqu ont été analysés. Il semblerait que les personnes ayant lancé les attaques auraient une prédilection pour les serveurs CentOS 5.x, menant certains chercheurs à croire qu'ils avaient trouvé un exploit zero-day pour ceux-ci. Les serveurs sont répartis dans plusieurs différents pays, dont l'Allemagne, la Belgique, Les Philippines et la Chine. Kaspersky a publié plusieurs articles de blog à propos de ces serveurs.

Notes et références[modifier | modifier le code]