Z analiz przeprowadzonych przez Kaspersky Lab wynika, że 20 października 2011 ktoś "wyczyścił" dane ze wszystkich (tzn. dwunastu) serwerów kontrolnych wykorzystywanych do zarządzania botnetem Duqu. Nastąpiło to zaledwie dwa dni przed tym, jak Symantec opublikował swój raport, w którym poinformowano o wykryciu nowego, niezwykle skomplikowanego trojana (oraz o jego powiązaniach z osławionym Stuxnetem).

Zdaniem specjalistów, Duqu został stworzony prawdopodobnie na zlecenie jakiegoś rządu - jego zadaniem było przeprowadzenie rekonesansu przed atakiem kolejnego, jeszcze bardziej skomplikowanego "szkodnika". "Wygląda na to, że ta faza operacji jest już zakończona - trojan zrobił swoje i nie jest już potrzebny. Niewykluczone jednak, że trwa już kolejny etap..." - skomentował Roel Schouwenberg, specjalista z Kaspersky Lab.

Zobacz również:

• Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?

Z analiz przeprowadzonych przez firmę wynika, że każdy atak Duqu koordynowany był z innego serwera kontrolnego (C&C) - maszyny te były zlokalizowane m.in. w Belgii, Indiach, Holandii oraz Wietnamie. Po przeprowadzeniu ataków (które trwały od 2009 do 2010 r.) serwery zostały wyczyszczone z wszystkich informacji, które mogły posłużyć do namierzenia twórców Dugu.

Co ciekawe, podczas analiz wykryto również, że w pewnym momencie operatorzy Duqu bardzo szybko przeprowadzili na serwerach kontrolnych aktualizację OpenSSH - z wersji 4.3 do wydania 5.8. Przedstawiciele Kaspersky zauważają, że zbiegło się to w czasie z wykryciem poważnego błędu w OpenSSH (Open BSD Secure Shell) - być może szybkie łatanie przeprowadzono w obawie, by inne grupy przestępcze nie wykorzystały luki do wykradzenia sekretów Duqu.