Het Duqu-virus dat zich via een onbekend lek in Windows-kernel verspreidde en onder andere instellingen in Iran infecteerde, is mogelijk jaren in ontwikkeling geweest. Dat beweert het Russische anti-virusbedrijf Kaspersky Lab. Duqu werd drie weken geleden door Symantec geopenbaard. De malware zou door hetzelfde team ontwikkeld zijn dat eerder de Stuxnetworm ontwikkeld. Duqu zou informatie kunnen verzamelen waardoor het uitvoeren van Stuxnet-achtige aanvallen mogelijk wordt. Inmiddels zijn er verschillende aanwijzingen verschenen dat onder andere Iran het doelwit van Duqu was, maar de malware is ook in verschillende andere landen aangetroffen, waaronder Nederland.

De driver die de exploit in de Windows-kernel installeert heeft een compilatiedatum van 31 augustus 2007. Een andere driver dateert van 21 februari 2008. "Als deze informatie correct is, dan zijn de makers van Duqu al meer dan vier jaar bezig met dit project", aldus Aleks Gostev.

Stuxnet
"We kunnen niet honderd procent zeker van die datum zijn, maar alle gecompileerde data van andere bestanden komen overeen met de aanvallen", meldt onderzoeker Roel Schouwenberg. "We neigen er dus naar dat deze datum correct is." De driver uit 2007 is volgens de Nederlander waarschijnlijk speciaal voor Duqu ontwikkeld en is geen "off-the-shelf" bestand dat anderen hebben gebouwd.

Duqu gebruikte voor elk doelwit een aparte command & control-server. Dat duidt er volgens Schouwenberg op dat de makers zeer zakelijk georiënteerd en professioneel zijn. "Deze nieuwe analyse geeft ons meer zekerheid dat Duqu door dezelfde mensen is ontwikkeld die Stuxnet bouwden", merkt Schouwenberg op. "Duqu is zeer geraffineerd. In Stuxnet werden sommige fouten gemaakt, maar al die fouten zijn in Duqu verholpen."