[Cyberattaque] Kaspersky craint Duqu

Sur le web

Par Pierre le

Kaspersky a annoncé avoir été victime d’une cyberattaque massive qui a visé ses serveurs il y a quelques mois. Une attaque d’un programme malveillant connu : Duqu 2.0 (d’où le titre moisi, pardon…). Le malware a infecté son réseau

kas

Kaspersky indique que le malware disposait de caractéristiques uniques, mais serait néanmoins basé sur le malware Duqu premier du nom. Une nouvelle menace qui n’a laissé aucune trace sur les réseaux de l’éditeur spécialisé dans la sécurité. Mais ce dernier compte bien mener l’enquête.

Kaspersky n’a pas été la seule société a avoir été victime de Duqu. En effet, différentes entreprises en ont été victimes au Moyen Orient et en Asie. De même, Duqu semble avoir attaqué l’événement P5+1, organisé pour négocier avec l’Iran autour du nucléaire. De même, une attaque du même type a été repérée pendant les commémorations des 70 ans de la libération du camps d’Auschwitz.

Voici comment Duqu est décrit par Kaspersky :

L’attaque a exploité des vulnérabilités zero-day et après avoir élevé le niveau de privilèges pour devenir administrateur domaine, elle s’est répandue dans le réseau via des fichiers MSI (Microsoft Software Installer), qui sont régulièrement utilisés par les administrateurs système pour déployer des logiciels sur des ordinateurs Microsoft distants. L’attaque n’a laissé derrière elle aucun fichier sur les disques durs et n’a modifié aucun paramètre système, rendant sa détection quasiment impossible. Le mode opératoire et la philosophie du groupe Duqu 2.0 indiquent un bond en avant d’une génération par rapport à tout ce qui a pu être observé en matière d’APT jusqu’à présent.

Duqu pourrait partager des points commun avec Stuxnet, qui avait tant fait parler de lui il y a deux ans. Notons que Duqu était déjà connu, mais cette version 2.0 semble plus sournoise, ne créant pas de fichiers, ne laissant pas de traces. Néanmoins, cela ne l’empêche pas de récupérer des informations sensibles.

Il a été repéré par Kaspersky lors des test alpha de sa nouvelle solution anti-malware. Même si l’enquête n’en est qu’à ses débuts, la société affirme que Duqu est trop bien pensé pour provenir d’une bande d’amateurs. Il a été créé par des pirates de hautes volées disposant de moyens importants. Kaspersky va même jusqu’à supposer qu’un Etat aurait pu commanditer cette attaque.

L’enquête est ouverte.