Stuxnet, Duqu, deux variantes d’un même projet vieux de 4 ans ?
Alexander Gostev et Igor Soumenkov, de Kasperski Labs, viennent de jeter un joli pavé dans la marre. Si l’intrigante recherche de paternité de Duqu et Stuxnet peine encore à donner des résultats, les deux analystes en sont convaincus : les deux logiciels malveillants sont du même père. Ou du moins seraient-ils issus de la même équipe de développeurs; deux projets gérés en parallèle et basés sur une plateforme logicielle apparue entre 2007 et 2008.
Vitaly Kamluk, toujours de Kaspersky Labs, avait déjà eu l’occasion de souligner les étonnantes similarités entre Stuxnet et Duqu. Mais là, Alexander Gostev et Igor Soumenkov, se sont appuyés sur une analyse des pilotes utilisés par les deux logiciels. De quoi, pour eux, «remettre significativement en cause l’histoire ‘officielle’ de Stuxnet ». En fait, lors de l’étude d’un incident lié à Duqu, «notre moteur antiviral a détecté un fichier étrange qu’il a identifié comme Rootkit.Win32.Stuxnet.a», indiquent-ils. Mais il ne s’agissait pas du fichier mrxcls.sys déjà connu : c’en était un autre, inconnu jusqu’alors et un peu plus volumineux mais utilisant le même certificat Realtek que celui utilisé par Stuxnet et signé près de deux mois plus tard. En outre, ce nouveau pilote utilisait une clé de registre et un bloc de données de configuration différents. Duqu utilise en outre un pilote aux fonctionnalités très proches de celles utilisées par un pilote installé par Stuxnet. Et compilé le 20 janvier 2008; un an avant les pilotes principaux de Stuxnet et de Duqu. Dans leur rapport d’analyse, les analystes des Kaspersky Labs reconstituent une chronologie des éléments, identifiant au passage le chaînon manquant de l’évolution entre Stuxnet et Duqu.
Se penchant sur le processus de développement de pilotes, les analystes soulignent que «plusieurs fois par an, les auteurs compilent une nouvelle version du pilote, créant un fichier de référence. Le but principal de ce fichier est de charger et d’exécuter le module principal, qui est créé séparément ». Pour créer un pilote associé à un nouveau module - la charge utile du cheval de Troie -, «les auteurs utilisent un programme dédié pour modifier le fichier de référence du pilote. [...] Ils modifient des fichiers déjà préparés mais n’en créent pas de nouveaux à partir de zéro ». Dès lors, pour eux, Stuxnet et Duqu ont été créés à partir d’une même plateforme conçue fin 2007 ou début 2008 avant de faire l’objet de changements lourds entre l’été et l’automne 2010. Des changements qui «ont été motivés par des avancées dans le code et par le besoin d’éviter la détection par des anti-virus ».
Mais cette conclusion en amène une autre, plus préoccupante : «il y a eu de nombreux projets de programme s’appuyant sur cette plateforme [dite ‘tilded’] de 2007 à 2011. Stuxnet et Duqu sont deux d’entre eux - il pourrait y en avoir eu d’autres qui sont encore inconnus.» Et d’ajouter que «la plateforme continue de se développer.»