Er wordt hevig gespeculeerd over het doel van de Duqu-worm, de malware die de illustere bijnaam 'Zoon van Stuxnet' draagt. Waar het doel van Stuxnet duidelijk het aanvallen van uraniumcentrifuges was om het Iraanse kernprogramma te versjteren, is het het doel van Duqu niet zo makkelijk te achterhalen.

Eén bedrijf in Nederland

Volgens beveiliger Kaspersky kan het een evolutie zijn van de Stars malware, en ook gericht zijn op het Iraanse kernprogramma. Maar dat verklaart niet wat Duqu dan in Nederland te zoeken heeft. Dat is iets wat volgens Tom Welling, senior technical account manager bij securitybedrijf Symantec, moeilijk te achterhalen is.

De malware is ook in Nederland aangetroffen op verschillende ip-adressen. "Er zit een overeenkomst in de ip-nummers die wijzen naar één bedrijf", zegt Welling. Welk bedrijf dat is wil of kan Symantec op dit moment niet zeggen.

Overheden geen doelwit

Gelet op de aanvallen in verschillende landen gaat Welling er vanuit dat Duqu zich niet richt op Defensie of een ander overheidsonderdeel. "Het lijkt mij een particulier bedrijf", aldus Welling. Hij denkt dat de aanval te verspreid is voor een overheidsdoel. Naast Nederland zijn er besmettingen waargenomen in Frankrijk, Zwitserland, de Oekraïne, India, Sudan, Iran en Vietnam. Verder bestaat het vermoeden dat er ook infecties zijn in Hongarije, Indonesië en in Groot-Brittannië.

"Waarschijnlijk gaat het om een bedrijf met uitgangen op het internet in meerdere landen", concludeert Welling. Een multinational dus, maar welke weet Symantec niet. Welling: "Het is niet altijd precies mogelijk te achterhalen welk bedrijf er precies achter een ip-adres zit."

Verschillende varianten

Duqu vertoont op ongeveer dertig punten overeenkomst met de code van Stuxnet, maar ontbeert, in tegenstelling tot zijn voorloper, een payload. Daarom is het zo lastig om te achterhalen wat het doel is van de worm, legt Welling uit. Duqu is een drietrapsraket waarvan de eerste en de tweede trap bekend zijn. Als de malware zich eenmaal op een systeem heeft genesteld kan hij op afstand voor een breed scala aan oprachten worden gebruikt.

Welling noemt dit een "remote acces trojan". "Het is een Zwitsers zakmes dat op allemaal verschillende manieren in te zetten is, en dan zijn er nu ook nog allemaal zakmessen die verschillende kleuren hebben", legt hij uit. Er zijn op dit moment 10 verschillende Duqu-versies ontdekt die allemaal erg op elkaar lijken maar kleine verschillen hebben. "En dan vraag je je af hoeveel varianten er nog niet ontdekt zijn."