MacBidouille

On commence à en savoir un peu plus sur Duqu 2.0, le système d'attaque particulièrement complexe qui a tenté de prendre le contrôle des serveurs de Kaspersky.
Ce dernier avait plusieurs composants. Le début de l'attaque passait par des failles 0 day qui permettaient de prendre le contrôle des machines à distances. Le second était destiné à rendre l'attaque persistante et plus furtive et passait par l'installation de pilotes modifiés sur les PC de la société.
Or, pour qu'un pilote (ici Windows) puisse s'installer sans provoquer d'alertes sur les machines, il fallait qu'il soit identifié comme légitime. Il s'avère que les pirates avaient auparavant volé (ou obtenu) des clés de signature de pilotes valides dérobées à Foxconn. Cette société les avait acquis en 2013 pour installer des pilotes légitimes sur des portables Dell.

Ce n'est pas la première fois que des certificats valides sont ainsi utilisés. Stuxnet avait utilisé des certificats dérobés à Realtek puis à Jmicron.

Pour en revenir à Duqu 2.0, il est bien entendu fortement inspiré de Duqu premier du nom, lui-même directement dérivé de Stuxnet.
Il pèse 18 Mo et peut résider entièrement en RAM ce qui le rend très furtif.

Maintenant que Duqu 2.0 a été identifié, il s'avère qu'il n'a pas attaqué que Kaspersky. Il aurait infecté nombre de grandes entreprises de par le monde et est probablement présent, sans avoir encore été détecté dans de nombreux endroits.

Cette nouvelle attaque montre surtout que l'on arrive à un point charnière de la sécurité globale d'internet et des machines qui y sont connectées. Il va falloir repenser à fond tout ce que l'on croyait comme fiable, comme les certificats délivrés par éditeurs de systèmes d'exploitation car ils ne permettent qu'une relative sécurité étant donné que le vol d'un seul d'entre eux permet de ruiner toute la chaîne.