Sécurité IT : Duqu fait son come-back
Symantec et Kaspersky s’accordent sur la résurgence du malware Duqu sous une forme évoluée exploitant des techniques novatrices pour passer sous les radars.
On n’en entendait plus parler depuis 2012 et ces attaques contre des sites nucléaires iraniens ou encore des autorités délivrant des certificats numériques : Duqu refait aujourd’hui surface.
Kaspersky a lancé l’alerte cette semaine après une enquête sur plusieurs intrusions dans ses systèmes informatiques survenues entre fin 2014 et début 2015.
Les investigations ont permis d’identifier une plate-forme de malware vraisemblablement basée sur une menace avancée persistante (APT, pour « Advanced Persistent Threat ») qui présente de nombreuses similitudes avec celle qu’exploitait Duqu, premier du nom.
Petit retour en arrière pour situer les choses. A l’automne 2011, la lumière était faite sur Duqu, ce trojan conçu pour rassembler des données de renseignement et ressources appartenant à des organisations, afin de faciliter une future attaque auprès d’une entité tierce.
L’installation s’effectuait via un document Word piégé au niveau des polices de caractères (faille CVE-2011-3402). Le logiciel pouvait ensuite se connecter à un serveur de commande pour déployer d’autres charges utiles, communiquer des informations sur la machine infectée et récupérer des données d’intérêt.
Après avoir touché des cibles au Royaume-Uni, au Soudan, en Iran, en Indonésie, en Autriche et en Hongrie, Duqu était retourné dans l’ombre. Il aura fallu près de trois ans pour le voir réémerger, essentiellement dans les pays occidentaux, au Moyen-Orient et en Asie.
Où sont les failles ?
Plusieurs attaques ont été recensées lors des célébrations du 70e anniversaire de la libération du camp de concentration d’Auschwitz-Birkenau. Les pays impliqués dans les négociations internationales autour du programme nucléaire iranien auraient également été pris pour cibles ces derniers mois.
Le périmètre d’action de « Duqu 2.0 » est sans doute plus large. L’incertitude est tout aussi grande sur les vecteurs que le malware a utilisés pour se propager. Dans son rapport technique (document PDF, 46 pages), Kaspersky évoque la faille CVE-2015-2360, située dans le noyau Windows et tout juste corrigée dans le Patch Tuesday diffusé depuis ce mardi par Microsoft.
Au moins deux autres vulnérabilités – aujourd’hui éliminées – auraient été mises à contribution. Notamment la CVE-2014-6324, utilisée jusqu’en novembre 2014 pour faciliter la propagation du malware sur le réseau grâce à une élévation de privilèges.
Pour Kaspersky, attaquer un spécialiste de la sécurité informatique est particulièrement culotté. Mais le butin était alléchant pour les pirates, en quête de propriété intellectuelle et d’informations sur les recherches de l’éditeur russe (seul le département R&D a d’ailleurs été visé).
Tout a commencé sur le poste d’un employé dont les historiques de navigation et de messagerie avaient été effacés pour masquer toute trace du méfait. Tout au long de la procédure d’infection, les cybercriminels ont tout fait pour ne pas être repérés. Notamment en s’assurant que le malware ne créait, ni ne modifiait aucun fichier ou paramètre système.
Une campagne onéreuse
Après avoir obtenu des privilèges de niveau administrateur, Duqu 2.0 se propageait sur le réseau par le biais de fichiers MSI, communément utilisés pour déployer des logiciels sur les postes Windows.
Exploitant de manière avancée les technologies de chiffrement et le planificateur de tâches, il pouvait fonctionner exclusivement en RAM et résister aux redémarrages sans pour autant mettre en place un mécanisme de persistance.
Pour Kaspersky, une telle campagne dont le coût est estimé à 50 millions de dollars ne peut avoir été commanditée que par un État-nation. Même son de cloche chez Symantec, qui souligne qu’un fabricant d’équipements électroniques en Asie du Sud-Est a aussi été affecté.
Les pirates auraient aussi visé des groupes télécoms (un en Europe ; un dans le nord de l’Afrique), sans doute pour écouter les conversations de cibles d’intérêt. Des traces du Duqu 2.0 ont également été trouvées aux Etats-Unis, au Royaume-Uni, en Inde, en Suède et à Hong Kong.
Dans sa structure comme dans sa gestion des appels et des renvois, Duqu 2.0 partage de nombreux attributs avec celui qui est désormais considéré comme son prédécesseur.
Pour minimiser les risques d’infection, il est recommandé de maintenir Windows à jour, de changer régulièrement ses mots de passe et d’installer si possible une édition 64 bits sur les serveurs (les pirates doivent alors utiliser des pilotes signés pour mettre en place des mécanismes de persistance).
Crédit photo : Graphic Compressor – Shutterstock.com