Er zijn nieuwe aanwijzingen dat Duqu daadwerkelijk uit dezelfde stal komt als Stuxnet, 's wereld meest geavanceerde malware tot nog toe. De overeenkomsten zitten niet alleen in de broncode en de makers, maar ook in het doel: Iran.

Zelfde broncode en makers

Meer specifiek gaat het om het Iraanse kernprogramma. Teheran houdt stug vol dat dit project enkel bedoeld is voor kernenergie, vreedzaam dus. De rest van de wereld vermoedt echter al jaren dat het regime stiekem uranium probeert verrijken tot 'weapons grade', geschikt voor kernwapens. Een rapport van het atoomagentschap IAEA, dat dinsdag zal verschijnen, presenteert nieuw bewijs voor de 'kwade opzet' van Teheran.

Eerder bleek al dat Duqu meer dan de helft van de broncode deelt met Stuxnet. Vorige week werd bekend dat de zogenaamde dropper van Duqu gebruik maakte van een nog onbekend zerodaygat in Windows. Stuxnet maakte gebruik van maar liefst vier tot dan toe onbekende gaten in Windows.

Iran wederom doelwit

Nu blijkt dat Duqu, of varianten daarvan, waarschijnlijk al meer dan een half jaar actief zijn. In april maakte Iran zelf melding van een geavanceerde malware 'Stars' die het had voorzien op overheidssystemen. Iran's Computer Emergency Response Team (IrCert) zou nu na verder onderzoek hebben vastgesteld dat Duqu een verder ontwikkelde variant is van Stars, meldt Kaspersky-onderzoeker Ryan Naraine.

De naam 'Stars' zou mogelijk zijn afgeleid van het feit dat Duqu de heimelijk verzamelde data extrafiltreert naar de command- en controlserver verstopt in een jpeg-bestand, een plaatje van twee botsende sterrenstelsels, gemaakt door de Hubble-telescoop.

Duqu niet destructief

Anders dan Stuxnet heeft Duqu geen destructieve payload, maar verzamelt het programma zo veel mogelijk gevoelige informatie over industriële procesaanstuursystemen.

Stuxnet ging nog een paar stappen verder en was in staat om de rotatiesnelheid van uraniumcentrifuges te manipuleren, waardoor de verrijking van uranium in Iraanse kerncentrales werd gesaboteerd.