Connexion
Abonnez-vous

L’éditeur Kaspersky piraté par une version modernisée de Duqu

Vent mauvais

L'éditeur Kaspersky piraté par une version modernisée de Duqu

Le 12 juin 2015 à 08h10

L’éditeur de sécurité Kaspersky, largement connu pour ses antivirus, a publié hier un rapport présentant deux faits importants : la société a été piratée et le malware utilisé était une version mise à jour de Duqu. Kaspersky fait le point sur les éléments appris durant cette opération, avouant par la même occasion qu’elle ne sait pas quelle quantité de code a pu être volée.

Une activité anormale sur le réseau

En mars, plusieurs employés de Kaspersky ont commencé à se douter qu’il y avait un problème dans le réseau de l’entreprise. Les premiers soupçons sont apparus chez un développeur qui travaillait spécifiquement sur un module expérimental de détection des APT (Advanced Persistent Threats), des menaces extrêmement sophistiquées et basées sur l’action dans le temps, avec de nombreux mécanismes de vol d’information et de camouflage. Un bon exemple d'APT est le cas maintenant très connu du piratage de Sony Pictures. Précisément le genre de menace dont a été victime l’éditeur.

Le développeur a repéré dans un premier temps une activité réseau qu’il a jugée anormale, sa machine contactant les serveurs de l’entreprise de manière trop fréquente. Ne considérant pas dans un premier temps que son PC pouvait être infecté, il a recherché la cause de ce qu’il jugeait comme un dysfonctionnement. Avec l’aide de plusieurs autres employés, un module masqué a fini par être découvert, avec un comportement d’autant plus suspect qu’il déployait clairement des efforts pour se masquer derrière des composants Windows normaux.

Kaspersky a lancé dans la foulée une grande analyse de ses infrastructures, récupérant petit à petit, durant plusieurs semaines, des informations sur un nombre croissant de machines finalement infectées. Et les surprises n’ont pas manqué quand les ingénieurs en sécurité se sont rendu compte que la menace avait un aspect familier : il s’agissait d’une version mise à jour et donc modernisée de Duqu. Ce dernier est pour rappel un malware qui a fait des ravages, mais de manière extrêmement ciblée en 2011, orienté vers des machines particulières pour voler des informations spécifiques.

Le retour du grand méchant Duqu

Duqu fait clairement partie des APT. Découvert initialement par Symantec, son code a été en partie retrouvé dans Stuxnet, un autre malware largement couvert par les médias pour avoir perturbé le programme iranien d’enrichissement de l’uranium. Ces menaces, avec Flame et Gauss plus tard, ont été rangées par Kaspersky ensuite comme des menaces qui ne pouvaient qu’être alimentées par des pays tant le degré de sophistication réclamait des moyens qu’un groupe « classique » de pirates ne pouvait avoir. C’est d’ailleurs Kaspersky qui avait mis en avant la probable parenté de Stuxnet avec les États-Unis et Israël.

Mais dans les recherches menées depuis ce printemps par l’éditeur russe, plus d’une centaine de victimes ont été trouvées ailleurs dans le monde, dans ce qui était bien une nouvelle campagne de vol d’informations, avec des objectifs géopolitiques très variés. Il y a visiblement eu collaboration dans les recherches avec Symantec, qui a publié un rapport de son côté quelques heures à peine après celui de Kaspersky. La société y estime « que Duqu 2.0 est une évolution de la menace originelle, créée par le même groupe de pirates. Duqu 2.0 est un outil complet de vol d’informations conçu pour maintenir sur le long terme une présence masquée sur le réseau de la victime. Ses créateurs l’ont probablement utilisé comme un de leurs outils principaux dans les campagnes de récupération des renseignements ».

Des semaines d'enquête, jusqu'à trouver le point d'entrée du malware

La situation a finalement été frustrante pour Kaspersky. Les ingénieurs ont passé des semaines à simplement observer ce que faisait le malware dans leur réseau et sur les machines. Ils ont repéré au moins une faille 0day que Duqu 2.0 a pu utiliser avec succès, ainsi que deux autres critiques qui pourraient servir dans d’autres réseaux à pirater Windows Server (utilisé chez Kaspersky). Ces deux failles ont été corrigées en décembre dernier, mais la première n’a été colmatée que mardi, à l’occasion du Patch Tuesday.

Kaspersky Duqu
Crédits : Kaspersky

Durant plusieurs semaines, l’observation a permis de comprendre en partie le fonctionnement du malware et d’en récupérer une partie. Les chercheurs ont fini par trouver également le point d’entrée de Duqu 2.0 dans leur réseau : une machine située dans les bureaux d’une antenne asiatique de l’entreprise. L’employé n’était pas un technicien et il est probable qu’il a été attiré dans une tentative de phishing spécifiquement conçue pour l’appâter et exploiter les trois failles... qui étaient alors toutes de type 0day. Les ingénieurs ont en effet découvert que la contamination initiale remontait à l'automne, et les deux failles critiques n'étaient pas encore corrigées.

Malheureusement, la découverte de cette machine a montré aux pirates que Kaspersky était au fait de la situation et enquêtait. Le malware s’est donc sabordé, supprimant l’historique de navigation et l’ensemble des emails de la machine. La situation pourrait presque faire sourire tant le jeu de dupes était manifeste : des pirates qui espionnaient Kaspersky, des chercheurs qui surveillaient les espions, puis des espions qui s’aperçoivent que la campagne a été découverte. Supprimer les traces du point d’entrée revenait à se débarrasser de l’arme du crime, mais les ingénieurs n’en ont pas moins trouvé de nombreuses informations sur le fonctionnement du nouveau Duqu.

Des caractéristiques uniques

Par exemple, le malware dispose en tout d’une centaine de modules comprenant de nombreuses fausses pistes pour orienter les chercheurs vers l’Europe de l’Est ou la Chine. Mais l’aspect le plus étonnant du malware était qu’il résidait uniquement en mémoire vive, sans rien laisser sur le disque dur en dehors de quelques pilotes installés dans les serveurs. S’il était supprimé d’un poste, il pouvait revenir via la contamination d’une autre machine sur le réseau. L’opération se faisait de manière transparente et silencieuse par l’exploitation de la faille corrigée mardi par Microsoft.

Toute la facilité avec laquelle le malware se chargeait venait là encore de cette faille, qui lui ouvrait l’espace Kernel de Windows, lui permettant alors de court-circuiter complètement les mécanismes qui devaient bloquer tout chargement de code malveillant. Ses communications se faisaient par ailleurs sous forme chiffrée, les données étant alors cachées dans des images au format JPEG et GIF. Duqu arrivait même à faire passer les données collectées pour du trafic Windows habituel, jusqu’à remonter aux serveurs contaminés. Là, les pilotes installés récupéraient les informations et les transmettaient aux serveurs pirates de contrôle sous forme de flux chiffré.

Une version 2.0 qui n'a pu, elle aussi, qu'être soutenue par un État

Mais l’intégralité du fonctionnement du nouveau Duqu repose bien sur une unique faille. Pour Kaspersky, la finesse des techniques mises en place et l’exploitation très inhabituelle de la faille montrent que les pirates qui ont conçu cette menace sont particulièrement doués. Le corolaire pour l’éditeur n’est pas de bon augure : si les concepteurs sont capables de baser l’intégralité d’une campagne de vol d’informations sur une seule faille, c’est sans doute parce que d’autres armes sont prêtes à prendre le relai. Et pour cause, toute la mécanique savamment huilée ne peut que rapidement s’effondrer maintenant que la faille a été corrigée. Mais combien d’autres existent encore pour constituer une réserve dans laquelle les pirates n’ont qu’à piocher ? On se retrouve précisément dans ce qui est tant reproché à la NSA : la connaissance de brèches dont les détails ne sont pas transmis aux éditeurs.

En outre - et c'est clairement le point crucial de l’affaire - les concepteurs de Duqu 2.0 ont nécessairement le soutien d'un État. C’était le cas de Duqu, puis celui de Stuxnet, sans parler de Flame et Gauss, tous possédant des caractéristiques très particulières. Aucun nom n’est évidemment donné, mais on se rappelle qu’en février, Kaspersky avait présenté des résultats de recherche sur un groupe nommé Equation, que l’éditeur considérait comme le plus avancé au monde dans la fabrication des cybermenaces. Et si Kaspersky n’en possédait pas la preuve, il n’en soulignait pas moins les nombreuses similitudes entre les méthodes utilisées par le groupe Equation et celles de la NSA.

Kaspersky s'inquiète d'une attaque aussi frontale

L’éditeur est inquiet en fait pour plusieurs raisons. D’abord parce que les pirates ne s’en sont jamais pris à un éditeur de sécurité aussi frontalement. Un signe qu’ils sont probablement prêts à aller plus loin car ce type d’action ne peut mener qu’à l’escalade des moyens mis en œuvre. Ensuite parce qu’ils ont pris le risque de littéralement « brûler une cartouche » dans une attaque dont ils n’étaient pas certains d’en retirer des bénéfices. Mais est-ce finalement le cas ? Kaspersky pense que oui : des données ont été emportées et la société estime que les pirates se focalisaient en priorité sur la propriété industrielle, notamment les recherches menées sur les nouveaux modules de détection. Pour autant, les utilisateurs eux-mêmes ne seraient pas en danger.

D’un autre côté, Kaspersky estime que les concepteurs de Duqu ont potentiellement commis une erreur. Les enquêteurs ont actuellement du mal à comprendre pourquoi les pirates ont pris la peine de déclencher de telles hostilités pour voler des informations dont ils peuvent, dans l’absolu, se passer. En effet, les campagnes Duqu ou Stuxnet ne visaient clairement pas des machines grand public et il est trop commun de trouver des PC dans les entreprises ou des structures critiques sans aucun logiciel de protection. En attaquant et en ne se rendant pas compte de la surveillance des ingénieurs de Kaspersky, les pirates ont donné un aperçu clair des progrès réalisés de leur côté sur ces technologies. Reste à savoir si le prix à payer pour acquérir cette connaissance ne sera finalement pas trop élevé. 

De la transparence et un optimisme de circonstance

Pour Kaspersky, il s’agit d’un « pari », ce qui a d’ailleurs donné le titre au rapport de presque 50 pages paru hier. Un risque calculé qui s’est presque terminé par un match nul, chaque camp ayant glané des informations sur l’autre. L’éditeur indique cependant qu’il a tenu à être transparent : « Pour une entreprise de sécurité, l’une des choses les plus difficiles est de reconnaître qu’elle a été victime d’une attaque de malware. […] nous croyons vraiment à la transparence, et c’est pourquoi nous publions les informations ci-incluses. La sécurité de nos utilisateurs reste pour nous le plus important et nous allons continuer à travailler dur pour regagner votre confiance ».

Mais en dépit de tout ce que peut annoncer Kaspersky, on ne sait rien réellement de la quantité exacte de code qui a été volée. L'éditeur se veut rassurant sur ses produits, mais il est délicat de prédire la manière dont les informations dérobées pourraient affecter les technologies actuellement employées, ou même futures. Il est possible que Kaspersky repousse ainsi l'arrivée de certaines nouveautés pour en blinder le fonctionnement. En attendant, la société russe indique que des plaintes ont été déposées, que toutes les autorités compétentes ont été contactées pour débuter les enquêtes et que les antivirus ont été mis à jour avec ce qui est désormais connu comme « HEUR:Trojan.Win32.Duqu2.gen ».

L'audit de sécurité, quant à lui, n'est pas encore terminé et il est probable qu'un nouveau rapport soit publié dans quelques semaines ou mois.

Commentaires (71)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Si je résume, il y avait une faille, un trou ; Ducu y est entré !

votre avatar







Tifeing a écrit :



 Enfin bon, j’imagine que tu as raison, parce que si le(s) créateur(s) de Duqu voulaient s’en prendre à une masse de gens, ils auraient plutôt attaqué des éditeurs plus influents en termes de parts de marché, du genre Avast ou Avira.



Je pense plutôt que ce groupe l’a fait également chez Avast ou Avira et d’autres, mais que ces éditeurs (moins bons) ne s’en sont pas aperçu ou qu’ils ne veulent pas communiquer à ce sujet…


votre avatar







Vincent_H a écrit :



C’est pas certain. Toute l’attaque reposait essentiellement sur une seule faille. Du coup, comme la faille est corrigée et que la mécanique globale est connue, relancer la même attaque va devenir beaucoup plus complexe. A moins évidemment que les pirates disposent de failles équivalentes pour redonner les mêmes capacités au malware, notamment la réplication en mémoire vive depuis les autres machines infectées, sans que l’activité ne soit détectée.





Ces malwares avancés sont souvent développés de manière très professionnelle par modules réutilisables. Il suffirait donc d’aller grapiller un exploit flash ou java, changer le hash/wrapper et faire un bon gros phishing pour relancer la machine. L’avantage du “grand public” étant le mauvais suivi des MAJ et un niveau de protection des postes déplorable (qui n’est pas admin de sa machine en usage courant?). Par contre, il est certain que l’exploitation ne se fera pas par les mêmes groupes mais des kits prêt à l’emploi se vendent assez bien et peu cher pour justifier des cibles moins professionnelles à partir du moment où il y a du fric à se faire sur le volume. Carte bancaire, e-mail, numéro de sécu: Tout a un prix et ça facilite l’amortissement de ces saloperies.


votre avatar

En tout bien joué, ça rend les choses faciles et agréables à lire tout en étant très riche en infos. <img data-src=" />

votre avatar

Oui pour la technique globale je suis d’accord. Je pense qu’ils ont au moins une autre faille 0day à exploiter avec le même principe. Mais que ce soit Duqu, Stuxnet, Flame ou Gauss, aucun n’était conçu pour le grand public.

&nbsp;

&nbsp;(ton avatar &lt;3)

votre avatar

Très chouette article. :)

votre avatar

Je ne comprends pas comment une boite comme Kapersky permet aux machines/laptops de leur devs et même de leurs employés d’être connectés directement à Internet (même avec proxy/FW). S’ils avaient travaillé dans un environment isolé avec un solution Citrix ou autre pour accéder au Net, tout cela ne serait pas arrivé. Maintenant leur réputation est foutue. Qui va encore utiliser leurs produits ?

votre avatar

On va encore nous dire que c’est la faute des admins et des utilisateurs qui font tous n’importe quoi ?

votre avatar







Fluidetom a écrit :



Je ne comprends pas comment une boite comme Kapersky permet aux machines/laptops de leur devs et même de leurs employés d’être connectés directement à Internet (même avec proxy/FW). S’ils avaient travaillé dans un environment isolé avec un solution Citrix ou autre pour accéder au Net, tout cela ne serait pas arrivé. Maintenant leur réputation est foutue. Qui va encore utiliser leurs produits ?





<img data-src=" />



Je pense que les PC de travail ne sont pas reliés à Internet, mais qu’il s’agit plutôt de PC “personnels”, dans le sens où je vois mal une société d’antivirus dotée que de PC non reliés à Internet ^^



Entre nous, la “réputation” de Kaspersky est grandement améliorée par cette divulgation, les éléments apportés et le courage de dire qu’ils se sont fait infecter.


votre avatar

Très bon article <img data-src=" />

&nbsp;







Fluidetom a écrit :



Je ne comprends pas comment une boite comme Kapersky permet aux machines/laptops de leur devs et même de leurs employés d’être connectés directement à Internet (même avec proxy/FW). S’ils avaient travaillé dans un environment isolé avec un solution Citrix ou autre pour accéder au Net, tout cela ne serait pas arrivé. Maintenant leur réputation est foutue. Qui va encore utiliser leurs produits ?





Malheureusement tu ne peux pas forcement te passer de connexion pour tout ton pro. Il te faut pouvoir échanger vers l’exterieur à un moment ou un autre.


votre avatar

Encore une fois, un très bel article. Merci !

votre avatar







fred42 a écrit :



Si je résume, il y avait une faille, un trou ; Duqu y est entré !





Tu as oublié de dire qu’ils l’ont mit à l’arrêt, Duqu&nbsp; <img data-src=" />


votre avatar

Merci pour cet article

ps: je l’avais dit que tout était déja écrit dans Threat Vector <img data-src=" />

votre avatar

[quote:5402687:Northernlights]Vous vous êtes retenu pour le sous titre.

&nbsp;

&nbsp;Très bon article…



Et moi qui prononçait “du coup”.

votre avatar

Merci pour l’article :)

votre avatar







Kalariel a écrit :



Très bon article.  Après j’ai du mal à me sentir visé par ce genre de virus/malware/menace en tant qu’utilisateur lambda.

C’est pas mon petit compte en banque qu’ils vont venir vider. Je pense pas que ca couvre tous les investissements honnêtement.

 Après une entreprise ou un pays la oui ça fait peur…





si on vide que le tien, non

Si on reproduit sur un grand nombre de “petits comptes en banque” c’est une autre histoire <img data-src=" />



Cela étant, je ne pense pas que ce soit le but de la manœuvre.



très bon article, merci <img data-src=" />


votre avatar

Snif, le comte Ducu est mort… (<img data-src=" />)

votre avatar

<img data-src=" /> … ça m’a plu

votre avatar

<img data-src=" />







Yannouch a écrit :



Snif, le comte Ducu est mort… (<img data-src=" />)






MDR&nbsp;:bravo:  



Eliminé par Kasperskywalker&nbsp;<img data-src=" /><img data-src=" />


votre avatar

Merci Vincent pour l’article.

&nbsp;

votre avatar

Vous vous êtes retenu pour le sous titre.

&nbsp;

&nbsp;Très bon article ceci dit.

votre avatar

Excellent article <img data-src=" />

votre avatar

Le terme de cyberguerre est vraiment pertinent, les enfants des générations futures s’amuseront surement à s’envoyer des malwares, au lieu des traditionnels jeux de guerre. à l’arme à feu ou à l’épée <img data-src=" />.









carbier a écrit :



Excellent article <img data-src=" />





+1


votre avatar

En tout cas on peut vraiment féliciter Kaspersky pour sa “transparence” même si comme indiqué à la fin de l’article, elle laisse quelques zones d’ombres.

&nbsp;Il va falloir trouver une solution pour contrôler les autorisations de flux, un peu comme signer un manifeste contenant les flux qu’une application veut faire. Si un flux apparait et n’est pas déclaré dans le manifeste = warning/interdiction

votre avatar

Très bon article<img data-src=" />

votre avatar

Digital Fortress de Dan Brown

Et probablement plusieurs autres ;)









Vincent_H a écrit :



C’était une vraie volonté en fait, surtout parce que l’angle chronologique permettait je pense de mieux appréhender l’ensemble des infos (très nombreuses) de cette histoire.





c’est une réussite <img data-src=" />


votre avatar

La majorité des cas c’est l’interface clavier chaise qui est le Maillon faible.<img data-src=" />

votre avatar

Vous êtes en forme, ça fait plaisir, mais je n’y suis pour rien. Mouhahah

&nbsp;



&nbsp;<img data-src=" />

&nbsp;

&nbsp;Excellent article qui fait quand même peur pour l’avenir.

votre avatar

Encore Israël et les USA ? MAIS QUEL COÏNCIDENCE !!!!!!!! <img data-src=" />



oh bah didons, bizarre ….

votre avatar







Vincent_H a écrit :



C’est pas certain. Toute l’attaque reposait essentiellement sur une seule faille. Du coup, comme la faille est corrigée et que la mécanique globale est connue, relancer la même attaque va devenir beaucoup plus complexe. A moins évidemment que les pirates disposent de failles équivalentes pour redonner les mêmes capacités au malware, notamment la réplication en mémoire vive depuis les autres machines infectées, sans que l’activité ne soit détectée.





J’ai lu une partie de la doc publiée par Kaspersky&nbsp;(jusqu’à la description des différents plugins utilisé par duqu), et ils semblent que 3 failles différentes ont été utilisées pour ce piratage :

“In the case of Kaspersky Lab, the attack took advantage of a zero-day (CVE-2015-2360)

in the WindowsKernel, patched by Microsoft on June 9 2015 and possibly up to two

other, currently patched vulnerabilities, which were zeroday at that time.”

&nbsp;

Deux plus anciennes (corrigées à l’automne 2014 pour une) utilisées pour l’installation (non confirmée) et pour l’élévation des droits au niveau admin (CVE-2014-6324)

&nbsp;&nbsp;

La dernière étant,en effet, la plus importante et permet d’exécuter du code avec le plus de droits possibles :

&nbsp;“One of the payloads bundled together with “klif.dll” is called “CTwoPENC.dll”. This is

aWindows kernel mode exploit (CVE-2015-2360) that allows them to run code with the

highest privileges in the system”.

&nbsp;



&nbsp;

PS : Leur doc est vraiment bien faite, je ne suis pas vraiment calé en informatique mais ils expliquent étape par étape comment l’infection s’est produite et quelles ont été les actions du malware pour s’installer et fonctionner. Je recommande&nbsp;<img data-src=" />

&nbsp;


votre avatar

Merci pour cet article très intéressant et instructif…

Reste à savoir ou tout ça va “nous” mener; car je pense que ce n’est que le début d’ailleurs l’article le dit:



Un signe qu’ils sont probablement prêts à aller plus loin car ce type d’action ne peut mener qu’à l’escalade des moyens mis en œuvre





Kaspersky est une entreprise qui a quand même une grande réputation (en tout cas; j’ai toujours entendu parler de kaspersky en bien) et le fait d’admettre qu’ils ont été piraté va dans le bon sens.

Combien de sociétés se font pirater et ne disent rien? encore trop à mon goût

Mais comme le souligne l’article encore une fois et quelques commentaires tout n’est pas dit. Malgré tout j’apprécie les déclarations de l’éditeur d’antivirus.

votre avatar



Ils ont repéré au moins une faille 0day que Duqu 2.0 a pu utiliser avec succès, ainsi que deux autres critiques qui pourraient servir dans d’autres réseaux à pirater Windows Server (utilisé chez Kaspersky). Ces deux failles ont été corrigées en décembre dernier, mais la première n’a été colmatée que mardi, à l’occasion du Patch Tuesday.



J’ai ri. <img data-src=" />

votre avatar







ledufakademy a écrit :



Encore Israël et les USA ? MAIS QUEL COHENCIDENCE !!!!!!!! <img data-src=" />



oh bah didons, bizarre ….





<img data-src=" />









———&gt; [ <img data-src=" /> ]


votre avatar

… attends ils font la guerre à tout le monde !

Parfois ils sont même en guerre contre eux même , c’est fort quand même. <img data-src=" />



30 ans d’informatique : ces gens me fatiguent … on veut juste faire des logiciels pour aider les gens , pas les détruire , faudra juste leur dire cela !!!!



bon week à tous !



<img data-src=" />

votre avatar

Génial, très bon article, merci Vincent !

votre avatar

N’empêche qu’au delà Duqu en question, il y a Montcuq, qui restera toujours Montcuq dans Moncoeur :

youtube.com YouTube

votre avatar

Un article captivant !!



À quand le film ?



Edit :

On a une idée de combien ça pèse un virus du genre (soft principal + plugins) ?

votre avatar

&nbsp;Ça doit dépendre du poids d’1bit; surement variable selon le support <img data-src=" />

======&gt; []

votre avatar

Ça dépend de qui tu veux aider <img data-src=" />

votre avatar

Les états-uniens sont sûrement inquiets de la supériorité des russes dans certains domaines de la guerre électronique. L’affaire AEGIS a dû remuer quelques services.

votre avatar

J’ai eu plaisir à lire cet article qui explique très bien ce qui s’est passé. Chapeau bas !

votre avatar

Grâce à cet article, j’ai compris qu’il fallait maintenant que je ne fasse confiance qu’aux logiciels Russes.



Sinon, Kaspersky déployé en entreprise, est un véritable mouchard pour ceux qui ont le centre de contrôle.

Mouchard sur les machines contrôlées, avec déploiement de fichiers, d’analyse des HDD, mises à jour des fichiers Windows (y compris hosts) etc. Et maintenant, filtre internet.



Je n’aime pas vraiment cet A.V.

votre avatar

T’as oublié que si tu desactives pas le scan, il bouffe 100% du CPU <img data-src=" />

votre avatar







athlon64 a écrit :



T’as oublié que si tu desactives pas le scan, il bouffe 100% du CPU <img data-src=" />





C’est un détail de l’histoire de l’informatique du 21ème siècle <img data-src=" />



Merci, je vois que je ne suis pas le seul à connaître cette vermine d’A.V.


votre avatar

&nbsp;Excellent article comme souvent&nbsp; sur NXI …

&nbsp;



Je vous recommande aussi de lire ou re-lire “le nid du coucou” de Clifford Stoll, ce bouquin est sorti en 1989, mais c’est passionnant.

&nbsp;

&nbspamazon.fr Amazon

&nbsp;

&nbsp;<img data-src=" />

votre avatar

On se rend compte du pétrin dans lequel se sont mises les administrations et entreprises qui utilisent Windows .

votre avatar

Vent mauvais =&gt; LOL



Vous oubliez de préciser que selon Snowden, OUI, Duqu et son code viennent bien des USA (la NSA) en collaboration avec Israël, c’est confirmé.

votre avatar

Tout a fait nigol

votre avatar

Très bon article romancé&nbsp;

votre avatar

je comprenais pas pourquoi le PC devenait lent d’un coup et a peu près toujours au meme moment de la journée, après un petit tour dans les processus, tu vois un truc qui bouffe tout avec le libellé Kaspersky, enfoiré !! <img data-src=" />

votre avatar

Très bon article.&nbsp;

Bravo <img data-src=" />

votre avatar

“The attackers can deploy two types of packages to their victims:

&nbsp;

• “Basic”, in-memory remote backdoor (~500K)

&nbsp;

• Fully featured, C&C-capable, in-memory espionage platform (18MB)”

&nbsp;

&nbsp;Source&nbsp;(p.6)

votre avatar
votre avatar

Merci !

votre avatar

En effet, la meilleure solution pour tester la solidité d’un virus c’est de l’implanter directement chez un des principaux éditeurs… d’ailleurs pourquoi ne serait-il pas chez les autres éditeurs aussi?

&nbsp;Kaspersky aurait-il été le seul à le découvrir?



Et ainsi, une fois le virus découvert, le hacker sait dès lors qu’il ne faut plus l’utiliser et en changer… indéfiniment.

votre avatar

Merci pour cet article très bien expliqué !

votre avatar

ça sent bien la NSA quand même <img data-src=" />

votre avatar

Très bon article

&nbsp;

votre avatar







&nbsp; La news a écrit :



Vent mauvais







&nbsp;Ça pu Duqu tout çà&nbsp; <img data-src=" />

&nbsp;



&nbsp;

( Et sinon très bon article)


votre avatar

Après avoir lu l’article, j’ai l’impression que les concepteurs de Duqu2 tâtaient le terrain avec un test grandeur nature avant une autre offensive bien plus vaste.

votre avatar

Très bon article une nouvelle fois, merci !

&nbsp;

votre avatar

Balèze l’article !!!



Merci

votre avatar

Donc d’un côté, on a ce type de malware, assez sophistiqué pour tromper un temps des employés d’un éditeur d’antivirus reconnu, et de l’autre, l’éditeur justement qui s’inquiète de voir ressortir Duqu et ses cousins…

&nbsp;



&nbsp;Avec au centre les gens lambda, aussi important pour l’un que pour l’autre qui, pour la plupart, ne cherchent pas forcément à aller plus loin que l’installation d’un antivirus. Je me demande qui des deux premiers va gagner sur ce terrain-là… Et je crains que ce ne soit pas forcément la sécurité des gens :/

votre avatar







lysbleu a écrit :



Le terme de cyberguerre est vraiment pertinent, les enfants des générations futures s’amuseront surement à s’envoyer des malwares, au lieu des traditionnels jeux de guerre. à l’arme à feu ou à l’épée <img data-src=" />.





+1



Après Battle Royal… après les défis de gentlemen… après le jeté de gants à la fugure… les malware dans la boite mail ou le liens sur le compte twitter/FB/…





eres a écrit :



En tout cas on peut vraiment féliciter Kaspersky pour sa “transparence” même si comme indiqué à la fin de l’article, elle laisse quelques zones d’ombres.

&nbsp;Il va falloir trouver une solution pour contrôler les autorisations de flux, un peu comme signer un manifeste contenant les flux qu’une application veut faire. Si un flux apparait et n’est pas déclaré dans le manifeste = warning/interdiction



En même temps, la transparence à ses limites, dans la mesure où ils ne peuvent pas parler du code de produits encore non disponibles sur le marché, ou la stratégie de l’entreprise.

C’est un bon début déjà d’admettre avoir été piraté, surtout pour une entreprise de ce type et de ce calibre. D’autres ne l’auraient pas annoncé au publique.&nbsp;





tifounon a écrit :



Après avoir lu l’article, j’ai l’impression que les concepteurs de Duqu2 tâtaient le terrain avec un test grandeur nature avant une autre offensive bien plus vaste.



Dans l’absolu, c’est clairement pour préparer le terrain pour plus tard, s’attaquer à Kaspersky c’est clairement être certain de cramer une cartouche à plus ou moins long terme.


votre avatar







tifounon a écrit :



Après avoir lu l’article, j’ai l’impression que les concepteurs de Duqu2 tâtaient le terrain avec un test grandeur nature avant une autre offensive bien plus vaste.





+1, s’attaquer à éditeur d’antivirus c’est vraiment pas “par hasard”.







Tifeing a écrit :



Donc d’un côté, on a ce type de malware, assez sophistiqué pour tromper un temps des employés d’un éditeur d’antivirus reconnu, et de l’autre, l’éditeur justement qui s’inquiète de voir ressortir Duqu et ses cousins…

 



 Avec au centre les gens lambda, aussi important pour l’un que pour l’autre qui, pour la plupart, ne cherchent pas forcément à aller plus loin que l’installation d’un antivirus. Je me demande qui des deux premiers va gagner sur ce terrain-là… Et je crains que ce ne soit pas forcément la sécurité des gens :/





Je ne pense pas que les “gens lambda” sont concernés par un tel virus. Déployer autant d’efforts pour un virus “mainstream”, c’est pas crédible.



On ne saura jamais si la “vraie cible” des hacker est pas justement équipée de Kaspersky, et alors l’envoyer chez l ‘éditeur fait sens.



Ou simplement pour qu’un service de renseignement puisse garder un oeil sur un éditeur non-US d’antivirus… Pour les autres antivirus US, la NSA a déjà le code source ^^


votre avatar

Très bon article. &nbsp;Après j’ai du mal à me sentir visé par ce genre de virus/malware/menace en tant qu’utilisateur lambda.

C’est pas mon petit compte en banque qu’ils vont venir vider. Je pense pas que ca couvre tous les investissements honnêtement.

&nbsp;Après une entreprise ou un pays la oui ça fait peur…&nbsp;

votre avatar

Article passionnant.

&nbsp;

Les prochaines guerres se préparent…

Quels dégâts pourraient causer une guerre numérique? sans doute beaucoup plus sur l’économie qu’une guerre “traditionnelle”…

votre avatar







tifounon a écrit :



Après avoir lu l’article, j’ai l’impression que les concepteurs de Duqu2 tâtaient le terrain avec un test grandeur nature avant une autre offensive bien plus vaste.





C’est pas certain. Toute l’attaque reposait essentiellement sur une seule faille. Du coup, comme la faille est corrigée et que la mécanique globale est connue, relancer la même attaque va devenir beaucoup plus complexe. A moins évidemment que les pirates disposent de failles équivalentes pour redonner les mêmes capacités au malware, notamment la réplication en mémoire vive depuis les autres machines infectées, sans que l’activité ne soit détectée.


votre avatar

Excellent article. Je me suis assez marré sur la façon très “roman” de raconter l’histoire. Vincent, je crois que tu viens d’inventer un nouveau genre, le roman de guerre … électronique avec au programme menace caché, jeux de faux-cul et suspense insoutenable.

&nbsp;

@u commentaires précédents : Très bon les jeux de mots avec duqu.

votre avatar

L’avantage de faire installer leur malware chez des gens peu avertis, équipés ou non de Kaspersky, c’est que malware ou pas, du moment que la personne peut utiliser son PC, ça roule. Or, Duqu semble vouloir se cacher pour opérer, et donc se faire passer pour un programme légitime.

&nbsp;



&nbsp;Enfin bon, j’imagine que tu as raison, parce que si le(s) créateur(s) de Duqu voulaient s’en prendre à une masse de gens, ils auraient plutôt attaqué des éditeurs plus influents en termes de parts de marché, du genre Avast ou Avira.

votre avatar

C’était une vraie volonté en fait, surtout parce que l’angle chronologique permettait je pense de mieux appréhender l’ensemble des infos (très nombreuses) de cette histoire.

L’éditeur Kaspersky piraté par une version modernisée de Duqu

  • Une activité anormale sur le réseau

  • Le retour du grand méchant Duqu

  • Des semaines d'enquête, jusqu'à trouver le point d'entrée du malware

  • Des caractéristiques uniques

  • Une version 2.0 qui n'a pu, elle aussi, qu'être soutenue par un État

  • Kaspersky s'inquiète d'une attaque aussi frontale

  • De la transparence et un optimisme de circonstance

Fermer