On l’avait dit et répété, il y a un « avant » et un « après » Stuxnet.
La descendance s’annonce.
Voici donc w32.duqu, dont la principale caractéristique de reprendre plus de 50% du code de « Papa », comme tout bon fiston qui se respecte.En l’occurrence, il est certain que les auteurs ont eu accès au code source de Stuxnet, soit parce qu’il le possédait déjà (!), soit parce qu’ils ont pu se le procurer d’une manière ou d’une autre.
Cette fois, même si le type de cible ultime pourrait être assez proche (autour des systèmes de contrôles industriels), la fonction est bien différente puisque clairement orientée vers le vol d’informations confidentielles.
En résumé :
Des informations plus détaillées sont disponible sur le blog de Symantec Response :
https://www.symantec.com/connect/w32_duqu_precursor_next_stuxnet
Ainsi qu’un « white paper » encore plus fouillé ici :
Mais les analyses se poursuivent…donc à suivre.