Les insaisissables maîtres de Duqu

Les chercheurs en sécurité qui étudient l’infrastructure de contrôle du cheval de Troie Duqu ont découvert que les cybercriminels à son origine ont pris un soin tout particulier à dissimuler leurs traces.

Une opération mondiale de nettoyage a eu lieu le 20 octobre dernier, deux jours seulement après qu’un rapport ne souligne les similarités entre Stuxnet et Duqu, explique Vitaly Kamluk, expert chez Kaspersky Lab. L’analyse complète conduite par le spécialiste en sécurité a permis de découvrir plus d’une douzaine de serveurs de contrôle à distance en fonctionnement depuis trois ans. Jusqu’à présent, plus d’une douzaine de variantes de Duqu ont été identifiées, explique Kamluk. «Nous ne savons toujours pas qui est derrière Duqu et Stuxnet », a indiqué Kamluk dans un récent billet de blog. «Bien que nous ayons analysé certains serveurs de contrôle à distance, il apparaît que les attaquants ont effacé leurs traces très efficacement.»

Les chercheurs de Kaspersky ont trouvé des indices appuyant la théorie selon laquelle les personnes à l’origine de Duqu ont bénéficié d’importants financements et disposaient de l’expertise technique nécessaire au ciblage d’entreprises spécifiques, à l’obtention - en secret - de données précises, le tout en laissant derrière eux peu d’éléments aux enquêteurs. Duqu partage certains éléments de code trouvés dans Stuxnet, le célèbre ver conçu pour attaquer certains processus de systèmes industriels informatisés (Scada). Certains experts en sécurité considèrent que Duqu a été conçu pour collecter les informations nécessaires à des attaques plus sérieuses sur des systèmes Scada.

Selon l’analyse de Kaspersky, les premiers échantillons de Duqu ont pu être utilisés pour remonter à un serveur de contrôle à distance installé en Inde qui a été effacé seulement quelques heures avant que son hébergeur en ait produit une image à destination des enquêteurs. Ce serveur en Inde était en outre connecté à un serveur en Belgique ainsi qu’à d’autres, au Vietnam et aux Pays-Bas. Des serveurs supplémentaires ont été identifiés en Allemagne, à Singapour, en Suisse, au Royaume-Uni, et en Corée du Sud.

Ces serveurs fonctionnaient sous la distribution Linux CentOS et ont été piratés par attaque en force brute sur le mot de passe root, explique Kamluk. «Les attaquants ont mis à jour OpenSSH de la version 4.3 à la 5 à chaque fois qu’ils ont pris le contrôle d’un serveur piraté », indique-t-il. Les chercheurs soupçonnent le serveur trouvé au Vietnam d’avoir été utilisé pour le contrôle des variantes de Duqu découvertes en Iran.

Mais l’analyse approfondie n’a pas permis aux chercheurs de trouver le point de départ de toutes les infections. Ils n’ont pas plus réussi à corroborer la théorie selon laquelle les attaquants auraient exploité une vulnérabilité inconnue d’OpenSSH 4.3 sur CentOS.

«L’infrastructure comportait de nombreux autres serveurs, certains d’entre eux servant de proxy pour les serveurs de contrôle principaux, ou d’autre encore étant utilisés comme intermédiaires de connexion pour masquer leurs traces », explique Kamluk. «Les attaquants ont effacé tous les serveurs qu’ils ont utilisés depuis 2009 - en Inde, au Vietnam, en Allemagne, au Royaume-Uni, etc.»

Adapté de l’anglais par la rédaction


Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)