Duqu 2.0 : Kaspersky victime d’une attaque ciblée

Via BBC, Kaspersky, Wired :

Kaspersky n’aura pas cherché bien loin pour trouver un sample du successeur de Duqu premier du nom : des pirates sont en effet parvenu à planter un malware sur certaines machines de l’entreprise dans le but d’espionner l’entreprise.

Le Duqu 2.0 a notamment été détecté car un fichier driver était signé avec un certificat valide provenant de l’entreprise Foxconn, ce qui était pour le moins étrange.
Foxconn est l’entreprise taïwanaise sous-traitante d’Apple où il fait tellement bon travailler
Cette entreprise signe très rarement ses exécutables.

Les auteurs des versions de Duqu ont semble t-il un penchant pour les entreprises taïwanaises quand il s’agit de voler des certificats. Sans doute dans l’espoir que les médias pointent du doigt les hackers chinois.
Mais les ressemblances entre le sample trouvé et le précédent Duqu sont telles qu’il est difficile de ne pas faire le lien avec Stuxnet qui est considéré comme un cousin de ce malware.
Selon certains la source des attaques serait par conséquent israélienne.

Whitepaper de Kaspersky (PDF)