Securitybedrijf Symantec heeft ontdekt dat er via Duqu is gespioneerd in Nederland en België. Er is een zogeheten zeroday-exploit in bijna alle Windows-versies ontdekt. Dat betekent dat leverancier Microsoft niet op de hoogte was van het lek, waarvan het op Stuxnet-lijkende Duqu misbruik maakte. Dit meldt Tweakers.net. Er is mogelijk gespioneerd bij een toeleverancier van het leger. Verder is het aantal bevestigde besmettingen door Duqu nog beperkt, zegt Symantec.
Het bedrijf dat is aangevallen heet Acal BFI en levert technologie aan legers in heel Europa. Acal BFIf is eerder gehackt geweest. Aanvallers konden via het extranet e-mails met malware sturen naar medewerkers. Volgens Tweakers sluit de werkwijze zich aan bij hoe Duqu-malware is verspreid. Volgens Symantec ging dat via een Word-document met een valse code. Die code kon via een lek in Windows TrueType-fonts verder code uitvoeren op kernel-niveau.
De computers die slachtoffer werden van het malafide Word-document, begonnen peer-to-peer met commandoservers van de criminelen te communiceren. Naast Nederland en België heeft Symantec ook in Frankrijk, Zwitserland, Oekraïne, Iran, Sudan en Vietnam besmettingen gevonden. In Hongarije, Indonesië en Engeland hebben ook mensen infecties gemeld. Symantec heeft gezegd dat de besmettingen alleen voor lijken te komen op zes bedrijfsnetwerken, maar het is nog onduidelijk om welke bedrijven het gaat.
Microsoft Patch-Tuesday
Microsoft heeft bevestigd dat er inderdaad sprake is van een zeroday-exploit en werkt aan een oplossing die misschien zelfs voor de maandelijke patch-Tuesday-update wordt verspreid. Daar de aankomende patch-Tuesday al op 8 november 2011 is, moet Microsoft haast maken.
Duqu
Duqu werd ontdekt door een Hongaar, die de malware op de website Virustotal liet scannen door meerdere anti-virusprogramma's. Keylogger Duqu onthoudt toetsaanslagen, maar kan ook bestanden verbergen via een rootkit. Symantec zegt dat er op 1 september 2011 twee varianten zijn gevonden, maar het kan zijn dat er eerder in 2011 al andere aanvallen zijn geweest. Het is niet goed na te trekken, omdat Duqu zichzelf na 36 dagen verwijderd, nadat het de gestolen informatie naar een server in India heeft gestuurd. McAfee zegt dat de betreffende server inmiddels offline is gehaald.
De broncode van Duqu lijkt op die van de Stuxnet-worm, maar of het om dezelfde auteurs gaat is niet bekend. Anti-virusbedrijf Symantec denkt dat Duqu slechts een aankondiging is voor een Stuxnet-achtige aanval, omdat Duqu informatie vanaf industriële systemen probeert te achterhalen. Duqu infecteert niet, maar is een 'remote access trojan', die alleen op zoek is naar kritieke informatie en zich verder niet verspreidt.
