Néhány hete a Symantec megerősítette, hogy a Duqu egy csakenm azonos fenyegetés a Stuxnet-tel , de teljesen más céllal jött létre. A Duqu célja, hogy intelligens adatokat és eszközöket gyűjtsön olyan szervezetektől, mint például az ipari létesítmények (többek között nem az ipari szektorból is) avégett, hogy megkönnyítsen egy jövőbeli támadást egy harmadik fél ellen. A támadók olyan információkat keresnek, mint például a tervezési dokumentumok, amelyek segítik őket egy támadás megtervezésében különböző iparágakban, beleértve az ipari ellenőrző létesítményeket. 

A CrySys felfedezte az eredeti Duqu binárisokat és azóta meghatározták a Duqu továbbterjedési kódját. Egyelőre még nem sikerült feltárni, hogy hogyan fertőzték meg a rendszereket, de sikerült megállapítani a támadás kirobbanását a CrySys csapatának kiváló munkájának köszönhetően.

A telepítő fájl egy Microsoft Word dokumentum (.doc), amely egy eddig ismeretlen kernel-sebezhetőséget használ ki, amely lehetővé teszi a kódfuttatást. A Symantec felvette a kapcsolatot a Microsofttal a sebezhetőséggel kapcsolatban, így a szervezet jelenleg is dolgozik a javításon.

A felfedezés óta a csapat a következő új fejleményeket leplezte le:

  • Egy javítatlan nulladik napi biztonsági rést kihasználva egy Microsoft Word dokumentumon keresztül telepítik a Duqu-t.
  • A támadók el tudják rejteni a Duqu-t számítógépes rendszerek biztonsági zónáiban, és irányítani tudják ezeket egyenrangú hálózatként (peer-to-peer) működő irányító (command-and-control) protokollon keresztül.
  • Hat szervezet számolt be fertőzésekről nyolc országban (Franciaország, Hollandia, Svájc, Ukrajna, India, Irán, Szudán és Vietnám).
  • Egy új command-and-control irányító szervert fedeztek fel Belgiumban (77.241.93.160), és leállították .

A Symantec STAR szervezete (Security Technology and Response) továbbra is vizsgálja a Duqu fenyegetést, és további frissítésekkel szolgál, amint rendelkezésre állnak. A szervezetek, valamint a magánszemélyek részére Gombás László, a Symantec magyarországi szakértője a következőket javasolja, hogy megelőzzék az őket fenyegető támadást:

  • Ne nyisson meg kéretlen csatolmányokat!
  • Használjon adatvesztés elleni védelmet, hogy megelőzze a bizalmas adatok elvesztését, és figyelje a nem megfelelő hozzáférést!
  • Ügyeljen arra, hogy a végpontvédelmi biztonsági termékek mindig frissítve legyenek!
  • Használjon eszköz-felügyeletet (device controll), hogy megakadályozza a cserélhető eszközök jogosulatlan használatát a hálózaton belül!
  • Vizsgálja felül a kritikus rendszerek beállítását, és védje azokat az adatokat, amelyek kulcsfontosságú szellemi tulajdont tartalmaznak, hogy megakadályozandó a jogosulatlan alkalmazásokat – mint például a Duqu –, mielőtt beszivárognak a szervezetbe!
  • Alkalmazzon biztonságiesemény- és incidens-naplót feldolgozó rendszereket (SIEM), vagy felügyelt biztonsági szolgáltatásokat (MSS), hogy jelezze a C&C szerverek IP-címét, és blokkolja a hozzájuk kapcsolódó kommunikációkat!