Menurut penelitian yang dilakukan oleh Symantec Security Response, bagian dari Duqu sangat identik dengan Stuxnet, tetapi dengan tujuan yang lebih berbeda. Duqu merupakan pendahuluan seperti serangan Stuxnet. Ancaman kemungkinan dibuat orang yang sama dan pertama sejak Stuxnet terakhir berhasil diatasi.
Duqu bertujuan untuk mengambil data intelijen dan aset dari beberapa perusahaan. Misalnya produsen sistem kontrol industri, untuk menyerang pihak ketiga dengan sangat mudah.
“Penyerang mencari informasi seperti dokumen desain yang dapat membantu melakukan serangan terhadap fasilitas kontrol industri di masa depan,” sebut Symantec dalam laporan terbarunya.
Menurut Symantec, penyerang menggunakan Duqu untuk menginstalasikan file pencuri yang dapat merekam tombol keyboard dan informasi lain. Serangan berbasis file yang terkompilasi dengan varian ini mulai muncul pada awal Desember 2010 lalu.
Duqu menggunakan Http dan Https untuk berkomunikasi dengan server. Dari sana, penyerang mampu menambah unduhan dengan mengeksekusinya melalui server, termasuk informasi curian yang dapat menampilkan aksi pencacahan jaringan, rekam penekanan tombol dan pertemuan sistem informasi. Informasi terkunci dengan enkripsi dan dekompresi file lokal.
Ancaman yang dihadirkan Duqu disembunyikan dengan mengunduh atau mengupload file JPG, mentransfer file JPG palsu, menambah data untuk dikirimkan. Ancaman dapat berlangsung selama 36 hari. Setelah itu, ancaman akan secara otomatis menghapus semua dari sistem.
Symantec menyebutkan, dari satu sisi, Duqu memiliki kemiripan dengan Stuxnet meski keuntungan yang dihasilkan sangat berbeda.
“Keuntungan yang didesain untuk sabotase sebuah sistem control industry telah diganti dengan kemampuan akses secara remote,” sebut Symantec. “Pencipta Duqu telah mengakses ke sumber kode Stuxnet, tidak hanya binary Stuxnet,” ucapnya.
Lewat Duqu, penyerang bermaksud untuk menemukan data intelijen dari perusahaan tertentu. Nantinya, data ini digunakan untuk membantu serangan pada pihak ketiga.
source