Stuxnet et Duqu sont des « cousins malware » selon Kaspersky

CloudRisquesSécuritéVirus

Selon le labo de l’éditeur de sécurité IT, une même plate-forme a servi à concevoir les malware sophistiqués Stuxnet et Duqu. Moins rassurant : elle a permis d’élaborer d’autres virus non identifiés.

Duqu-Stuxnet, même origine ?

Les chercheurs du Kaspersky Lab, éditeur russe d’anti-virus, étudient les liens entre les deux malware.

Ils considèrent que le cheval de Troie Duqu a été conçu à partir de la même plate-forme que « le ver industriel » Stuxnet.

Et au-delà : les fondements de cette plate-forme remonteraient à 2007 et ils auraient servi à élaborer au moins cinq malware.

Dans une contribution blog, les chercheurs de Kaspersky commencent par noter que « en termes d’architecture, la plate-forme utilisée pour créer Duqu et Stuxnet est la même. »

Ils ont nommé cette plate-forme « Tilded », car un grand nombre des fichiers qu’elle utilise commencent par « ~d », c’est-à-dire le caractère « tilde » suivi du caractère « d ».

Tilded, crée fin 2007, opère par modules. Il s’agit de faux drivers, utilisant des signatures logicielles légitimes (de RealTec et Jmicron). Les chercheurs ne savent pas comment elles ont été obtenues.

Les virus font ensuite appel à ces drivers pour opérer leurs malveillantes activités.

« C’est comme un jeu de Lego. Vous pouvez en assembler les composants pour créer n’importe quoi : un robot, une maison, un tank » explique Costin Raiu, directeur de recherche et d’analyse pour Kaspersky.

Et c’est là que la trace des virus supplémentaires a été retrouvée : plusieurs de ces modules sont utilisés par au moins trois autres malware non encore identifiés, a assuré le directeur à Reuters.

« La plate-forme continue de se développer, ce qui ne peut dire qu’une seule chose : il est probable que nous verront d’autres modifications dans le futur. »

En particulier pour continuer à échapper aux radars anti-virus, selon Alexander Gostev, chef de l’équipe d’analyse du laboratoire de sécurité IT.

Selon Reuters qui résume l’opinion générale des experts en sécurité, la plate-forme a été créée par les États-Unis et Israël.

Stuxnet, repéré en 2010, s’attaquait aux centrifugeuses du programme nucléaire iranien.

Les Etats concernés se refusent cependant à commenter sur ces spéculations.

De son côté, Duqu, identifié en octobre 2011, est un logiciel espion extrêmement ciblé s’emparant de logins, mots de passes et captures d’écrans sur les ordinateurs de ses victimes.

Les failles exploitées ont été corrigées par Microsoft, et les anti-virus les repèrent désormais facilement.

Mais les autres cyber-armes de l’arsenal restent indétectables à ce jour…

Logo : © maninblack – Fotolia.com

Lire aussi :