Duqu 2.0 est une version de malware signalée en 2015 pour avoir infecté des ordinateurs dans des hôtels d'Autriche et de Suisse qui étaient des sites de négociations internationales avec l'Iran sur son programme nucléaire et ses sanctions économiques. Le malware, qui infecte le Kaspersky Lab pendant des mois sans qu'ils s'en rendent compte, est considéré comme le travail de l'Unité 8200.
Kaspersky a découvert le malware, et Symantec a confirmé ces résultats. Le malware est une variante de Duqu, et Duqu est une variante de Stuxnet. Le logiciel est "lié à Israël", selon The Guardian. Le logiciel a utilisé trois exploits de zéro jour , et aurait nécessité un financement et une organisation compatibles avec un service de renseignement gouvernemental.
Selon Kaspersky, "la philosophie et la façon de penser du groupe" Duqu 2.0 "sont en avance sur tout ce qui est perçu dans le monde des menaces persistantes avancées."
Malgré que Duqu 2.0 présente de nombreuses similitudes avec son prédécesseur, la nouvelle souche du malware populaire est considérée par les chercheurs comme très dangereuse, les experts la définissant furtive et difficile à détecter car elle réside uniquement dans la mémoire de l'ordinateur, ne laissant aucune trace sur le disque. Duqu 2.0 fonctionne comme une porte dérobée dans le système infecté et une fois exécuté, les données d'exfiltration sont renvoyées aux serveurs C & C.Duqu 2.0 systèmes infectés d'un grand nombre de cibles dans plusieurs pays, y compris les États-Unis, le Royaume-Uni, la Suède, de nombreuses autres victimes sont en Asie et en Afrique du Nord.Comme cela se produit généralement dans les logiciels malveillants gouvernementaux, les logiciels malveillants Duqu 2.0 ont également exploité trois vulnérabilités de type «jour zéro». Une autre singularité du malware est la manière dont il renvoie les données vers les serveurs C & C, selon les experts de Kaspersky Lab qui attaquent les passerelles réseau et les pare-feu infectés en installant des pilotes malveillants qui transmettent tout le trafic interne aux serveurs C & C.
Qui est derrière Duqu 2.0?Le problème d'attribution d'une cyberattaque est difficile à résoudre, un attaquant pourrait introduire de faux drapeaux afin de tromper les enquêteurs, selon Mikko Hypponen les mauvais acteurs derrière Duqu 2.0 ont adopté une tactique similaire en ajoutant un des drivers qui contiennent la chaîne " ugly.gorilla "utilisé par l'APT chinois connu sous le nom Commentaire Crew.
Duqu 2.0 incluait plusieurs faux drapeaux: l'un des pilotes contient la chaîne "ugly.gorilla" qui fait référence à Comment Crew. De Chine.
- Mikko Hypponen (@mikko) 10 Giugno 2015Les experts en sécurité soutiennent que Duqu était le produit d'un effort conjoint de la NSA Tao et de l'unité israélienne 8200, il est évident que les deux agences de renseignement sont soupçonnées également pour Duqu 2.0. L'analyse publiée par Kaspersky a révélé que Duqu 2.0 n'a pas été conçu par le groupe Equation, ce qui signifie qu'Israël est le principal suspect de la campagne. La même opinion est partagée par Richard Bejtlich de FireEye.Basé uniquement sur plusieurs éléments de l'histoire @KimZetter @kaspersky intrusion, il semble que "Duqu 2.0" pourrait être une campagne israélienne.
REF.:
