Duqu 2.0 : le retour du malware Duqu... qui s'en prend à Kasperky Lab !

Par:
fredericmazue

mer, 10/06/2015 - 16:09

C'est la semaine du retour des malwares. Après Drixed qui refait surface, voici maintenant DuQu 2.0.

C'est Kaspersky lab qui vient de lancer l'alerte à Duqu 2.0 dans un communiqué. Kaspersky Lab détectait une cyber-intrusion dans plusieurs de ses systèmes internes. Suite à cette découverte, l’entreprise lançait une enquête intensive, dont le résultat fut l’identification d’une nouvelle plate-forme de malware issue d’une des APT les plus complexes, mystérieuses et puissantes : Duqu.

Kaspersky Lab pense que les auteurs étaient convaincus qu’ils ne pouvaient pas être découverts.  En effet, l’attaque incluait des caractéristiques uniques, jamais vues auparavant, et n’a laissé presqu’aucune trace.

L’attaque a exploité des vulnérabilités zero-day et après avoir élevé le niveau de privilèges pour devenir administrateur domaine, elle s’est répandue dans le réseau via des fichiers MSI (Microsoft Software Installer), qui sont régulièrement utilisés par les administrateurs système pour déployer des logiciels sur des ordinateurs Microsoft distants. L’attaque n’a laissé derrière elle aucun fichier sur les disques durs et n’a modifié aucun paramètre système, rendant sa détection quasiment impossible. Le mode opératoire et la philosophie du groupe Duqu 2.0 indiquent un bond en avant d’une génération par rapport à tout ce qui a pu être observé en matière d’APT jusqu’à présent.

Les chercheurs de Kaspersky Lab ont également découvert que l’entreprise n’était pas la seule cible de ce puissant acteur. D’autres victimes ont été repérées dans les pays occidentaux, ainsi que dans certains pays du Moyen Orient et en Asie. Ainsi, certaines des nouvelles infections de 2014-2015 sont liées aux évènements du P5+1, dans le cadre de négociations avec l’Iran autour du nucléaire, toujours selon Kaspersky LAb. L’acteur malveillant derrière Duqu semble avoir lancé des attaques contre les sites accueillant des pourparlers.
En outre, le groupe Duqu 2.0 a lancé une attaque similaire en relation avec les célébrations de la libération du camp d’Auschwitz-Birkenau, en plus des événements contre le P5+1. De nombreux dignitaires étrangers et politiciens ont d’ailleurs participé à ces commémorations.

Kaspersky Lab a mené une analyse de l’attaque ainsi qu’un audit de sécurité ; ce dernier incluant la vérification des codes-sources et le contrôle de l’infrastructure de la société. L’audit, à ce jour, est encore en cours et sera finalisé dans quelques semaines. À l’exception du vol de propriété intellectuelle, aucun autre indicateur d’activité malveillante n’a été détecté. L’analyse a révélé que l’objectif premier des assaillants était d’espionner les technologies de Kaspersky Lab, les recherches en cours et les procédures internes. Aucune interférence avec les processus ou les systèmes n’a été détectée.

Kaspersky Lab se dit confiant dans le fait qu’il n’y a d’impact ni sur ses produits, technologies, services, ni sur la sécurité de ses clients et partenaires.

« Les personnes à l’origine de Duqu constituent un des groupes les plus expérimentés, qualifiés et puissants en matière d’APT ; et  ils ont tout fait pour ne pas être repérés, » souligne Costin Raiu, Directeur de l’équipe Global Research & Analysis Team de Kaspersky Lab. « Cette attaque, d’une extrême complexité, a utilisé jusqu’à trois failles zero-day - ce qui est réellement impressionnant. En outre, son coût a dû être très élevé. Pour passer inaperçu, le malware résidait dans la mémoire du noyau (Kernel memory), compliquant ainsi fortement sa détection par les solutions anti-malware. Par ailleurs, cette attaque ne se connecte pas directement à un serveur de commande et de contrôle pour recevoir des instructions. À la place, les attaquants ont infecté les passerelles internet et les firewalls du réseau, en installant des drivers qui redirigent tout le trafic du réseau interne vers les serveurs C&C’s des attaquants ».

Eugene Kaspersky, CEO de Kaspersky Lab, commente : « Espionner les sociétés de cybersécurité est une tendance dangereuse. Dans ce monde moderne, où le hardware et les équipements réseaux peuvent être compromis, les logiciels de sécurité constituent la dernière barrière de protection pour les entreprises et les particuliers. Mais au-delà de cette considération, un jour ou l’autre, des technologies implémentées dans des attaques similaires seront étudiées et utilisées par des terroristes et des cybercriminels professionnels. Il s’agit d’un scénario très sérieux, et aussi très possible [...] Divulguer un tel incident est la seule façon de rendre le monde plus sûr. Cela permet d’améliorer l’architecture des infrastructures de sécurité des entreprises, et aussi d’envoyer un message clair aux développeurs de ce malware : toute opération illégale sera stoppée et poursuivie. Le seul moyen de protéger le monde est que les agences d’application de la loi et les sociétés de sécurité combattent ces attaques ouvertement. Et nous continuerons de révéler ces attaques, quelles que soient leurs origines ».

Un document technique détaillant le fonctionnement de Duqu 2.0 est disponible ici.

Pour limiter les risques liés à cette menace, Kaspersky Lab propose son assistance et expertise à toute organisation intéressée.