Duqu 2.0 utilise lui aussi des certificats volés
Comme pour confirmer ses liens avec les auteurs de Stuxnet, Duqu 2.0 utilise des certificats volés pour signer ses pilotes.
Stuxnet utilisait deux certificats volés à Realtek et à JMicron pour signer ses pilotes et, ainsi, s’installer en toute discrétion. Plus tard, Flame utilisait des certificats lui permettant d’apparaître comme un produit Microsoft. Aujourd’hui, c’est la version 2.0 de Duqu qui utilise des certificats de Foxconn pour signer ses pilotes, et plus précisément celui qu’il utilise pour détourner le trafic réseau SMB et RDP sur le port 443 pour le faire apparaître comme du trafic HTTPS.
Dans un billet de blog, les experts de Kaspersky expliquent que « le vol de certificats numériques et la signature de logiciel malveillant sous l’identité d’une entreprise légitime semble être une astuce régulière de la part des attaquants qui contrôlent Duqu ».
Et si l’éditeur indique n’avoir « aucune confirmation » de compromission de constructeurs informatiques, « nos indicateurs montrent clairement que les attaquants [qui contrôlent Duqu] s’intéressent au plus haut point à des constructeurs tels que Foxconn, Realtek et JMicron ». Et de souligner avoir observé des « infections associées avec des constructeurs de la région Asie-Pacifique lors des campagnes de 2014/2015 », y compris des constructeurs de systèmes Scada.
Surtout, Kaspersky souligne que les certificats Foxconn utilisés ici n’ont pas été utilisés pour d’autres logiciels malveillants : « cela semble indiquer que les attaquants de Duqu sont les seuls à avoir accès à ces certificats, ce qui renforce la théorie selo laquelle ils ont piraté des constructeurs de matériels afin d’obtenir ces certificats ».
Pire, selon l’éditeur russe, « les attaquants de Duqu n’utilisent pas le même certificat deux fois ». Un point préoccupant qui laisse à penser que ces pirates « ont suffisamment de certificats volés alternatifs prêts à utiliser pour leur prochaine attaque ciblée ».