On l’avait dit et répété, il y a un « avant » et un « après » Stuxnet.
La descendance s’annonce.
Voici donc w32.duqu, dont la principale caractéristique de reprendre plus de 50% du code de « Papa », comme tout bon fiston qui se respecte.En l’occurrence, il est certain que les auteurs ont eu accès au code source de Stuxnet, soit parce qu’il le possédait déjà (!), soit parce qu’ils ont pu se le procurer d’une manière ou d’une autre.
Cette fois, même si le type de cible ultime pourrait être assez proche (autour des systèmes de contrôles industriels), la fonction est bien différente puisque clairement orientée vers le vol d’informations confidentielles.
En résumé :
- Nous avons découvert des exécutables utilisant le code de Stuxnet. Ils semblent avoir été développés après la dernière version de Stuxnet.
- Ces programmes sont conçus pour capturer des frappes clavier ainsi que des informations systèmes ou de design.
- L’analyse actuelle ne montre pas de code directement lié à des vulnérabilités de systèmes de contrôles industriels.
- Il ne se réplique pas.
- Ces exécutables ont été identifiés dans un nombre limité d’organisations, incluant notamment la fourniture de systèmes de contrôles industriels.
- Les données exfiltrées pourraient être utilisées par la suite pour lancer des attaques de type Stuxnet.
Des informations plus détaillées sont disponible sur le blog de Symantec Response :
https://www.symantec.com/connect/w32_duqu_precursor_next_stuxnet
Ainsi qu’un « white paper » encore plus fouillé ici :
Mais les analyses se poursuivent…donc à suivre.