Difference between revisions of "Duqu"
m (1 revision imported) |
m (Text replacement - "=Unknown" to "=") |
||
Line 15: | Line 15: | ||
Certains serveurs de commande ont pu être analysés par Kaspersky. Malheureusement ils semblent avoir été nettoyés le '''20 octobre 2011'''. Ils étaient toujours équipés du systèmes d'exploitation Linux CentOS 5.2, 5.4, 5.5, semblant indiquer la maîtrise d'une vulnérabilité 0-day qui pourrait concerner la version 4.3 d'OpenSSH sur cet OS. Leur contrôle remonterait jusqu'à novembre 2009, reculant encore la date du début de l'attaque. Les découvertes de Kaspersky confirment qu'ils servaient de proxy. | Certains serveurs de commande ont pu être analysés par Kaspersky. Malheureusement ils semblent avoir été nettoyés le '''20 octobre 2011'''. Ils étaient toujours équipés du systèmes d'exploitation Linux CentOS 5.2, 5.4, 5.5, semblant indiquer la maîtrise d'une vulnérabilité 0-day qui pourrait concerner la version 4.3 d'OpenSSH sur cet OS. Leur contrôle remonterait jusqu'à novembre 2009, reculant encore la date du début de l'attaque. Les découvertes de Kaspersky confirment qu'ils servaient de proxy. | ||
|Commercialisation= | |Commercialisation= | ||
|UserAgent= | |UserAgent= | ||
|UserAgent2= | |UserAgent2= | ||
|UserAgent3= | |UserAgent3= | ||
Line 30: | Line 30: | ||
|OS3= | |OS3= | ||
|OS4= | |OS4= | ||
|Status= | |Status= | ||
|BeginYear=2009 | |BeginYear=2009 | ||
|EndYear= | |EndYear= | ||
|Group=Spying | |Group=Spying | ||
|Groupe2= | |Groupe2= |
Latest revision as of 15:45, 8 August 2015
(Botnet) Link to the old Wiki page : [1] / Google search: [2]
Duqu | |
---|---|
Alias | |
Group | Spying |
Parent | |
Sibling | |
Family | |
Relations | Variants: Sibling of: |
Target | Microsoft Windows |
Origin | |
Distribution vector | |
UserAgent | |
CCProtocol | HTTP (Centralized) |
Activity | 2009 / |
Status | |
Language | |
Programming language | |
Operation/Working group |
Introduction
Le nom de ce botnet provient de celui de fichiers créés par un des composants malveillants qui sont à la base de fonctionnements, celui chargé de collecter des données personnelles (ou infostealer). Certains fichiers créés sont de la forme '~DQx.tmp'. L'analyse du comportement du logiciel malveillant utilisé (voir Duqu (bot)) conduit les spécialistes à estimer que Duqu est exclusivement utilisé pour réaliser des attaques ciblées.
Symantec affirme qu'il s'agirait d'obtenir des informations nécessaires à de futures attaques contre des infrastructures industrielles. Toujours selon cette société, les premières attaques liées à Duqu auraient pu avoir lieu aussi tôt que novembre 2010, si l'on en croit les dates de compilation de certains fichiers découverts.