Stuxnet et Duqu sont des « cousins malware » selon Kaspersky

Duqu-Stuxnet, même origine ?

Les chercheurs du Kaspersky Lab, éditeur russe d’anti-virus, étudient les liens entre les deux malware.

Ils considèrent que le cheval de Troie Duqu a été conçu à partir de la même plate-forme que « le ver industriel » Stuxnet.

Et au-delà : les fondements de cette plate-forme remonteraient à 2007 et ils auraient servi à élaborer au moins cinq malware.

Dans une contribution blog, les chercheurs de Kaspersky commencent par noter que « en termes d’architecture, la plate-forme utilisée pour créer Duqu et Stuxnet est la même. »

Ils ont nommé cette plate-forme « Tilded », car un grand nombre des fichiers qu’elle utilise commencent par « ~d », c’est-à-dire le caractère « tilde » suivi du caractère « d ».

Tilded, crée fin 2007, opère par modules. Il s’agit de faux drivers, utilisant des signatures logicielles légitimes (de RealTec et Jmicron). Les chercheurs ne savent pas comment elles ont été obtenues.

Les virus font ensuite appel à ces drivers pour opérer leurs malveillantes activités.

« C’est comme un jeu de Lego. Vous pouvez en assembler les composants pour créer n’importe quoi : un robot, une maison, un tank » explique Costin Raiu, directeur de recherche et d’analyse pour Kaspersky.

Et c’est là que la trace des virus supplémentaires a été retrouvée : plusieurs de ces modules sont utilisés par au moins trois autres malware non encore identifiés, a assuré le directeur à Reuters.

« La plate-forme continue de se développer, ce qui ne peut dire qu’une seule chose : il est probable que nous verront d’autres modifications dans le futur. »

En particulier pour continuer à échapper aux radars anti-virus, selon Alexander Gostev, chef de l’équipe d’analyse du laboratoire de sécurité IT.

Selon Reuters qui résume l’opinion générale des experts en sécurité, la plate-forme a été créée par les États-Unis et Israël.

Stuxnet, repéré en 2010, s’attaquait aux centrifugeuses du programme nucléaire iranien.

Les Etats concernés se refusent cependant à commenter sur ces spéculations.

De son côté, Duqu, identifié en octobre 2011, est un logiciel espion extrêmement ciblé s’emparant de logins, mots de passes et captures d’écrans sur les ordinateurs de ses victimes.

Les failles exploitées ont été corrigées par Microsoft, et les anti-virus les repèrent désormais facilement.

Mais les autres cyber-armes de l’arsenal restent indétectables à ce jour…

Logo : © maninblack – Fotolia.com

Recent Posts

PC Copilot+ : avec Arm ou x86 ?

Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…

2 semaines ago

Copilot+ : une sélection de PC convertibles

Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…

4 semaines ago

Avec Gemini intégré à Google Workspace, les prix s’envolent

Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…

4 semaines ago

PC Copilot+ : c’est parti pour la transformation du parc

Au CES 2025, les principaux constructeurs ont annoncé l'arrivée des ordinateurs de bureau dotés de…

1 mois ago

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 mois ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 mois ago