vorherige News

nächste News

Duqu: Neue Malware mit Stuxnet-Komponenten

Sicherheitsforscher rätseln über eine neu entdeckte Malware, der sie den Namen "Duqu" gegeben haben. Ersten Analysen zufolge wird bei Duqu Quellcode des berüchtigten, auf die Sabotage von Industrie-Anlagen verwendeten Trojaners "Stuxnet" verwendet. Sicherheitsexperten gehen davon aus, dass Duqus Programmierer Zugriff auf den Original-Quellcode von Stuxnet hatten.

Die neue Malware wurde erstmals am 14. Oktober entdeckt. Sicherheitsforscher nannten sie "Duqu", weil sie eine Datei mit der Endung "~DQ" erzeugt. Die genaue Zeit des Einsatzes ist schwer zu bestimmen. Sicherheitsforscher konnten diese für die bislang entdeckten Malware-Samples auf den Zeitraum zwischen Dezember 2010 und September 2011 eingrenzen. Der von Duqu verwendete Command-and-Control-Server - der sich nach Angaben der Sicherheitsfirma McAfee in Indien befindet - war am 14. Oktober nach wie vor online, wurde seitdem aber auf Hinweis der Sicherheitsexperten hin vom Provider offline genommen. 

Duqu ähnelt in vieler Hinsicht dem berüchtigten Trojaner Stuxnet. Der Teil des Stuxnet-Quellcodes, der auf SCADA/Industrieanlagen spezialisiert ist, wurde bei Duqu allerdings nicht wiederverwendet. Die Programmierer übernahmen dafür einen Teil von Stuxnets Treiber-Komponente, der es ermöglicht, zusätzlichen Quellcode nachzuladen. Die Analysten des IT-Sicherheitsunternehmens Sophos sind der Ansicht, dass Duqu im Gegensatz zu Stuxnet nicht auf die Sabotage von Industrieanlagen, sondern auf das Sammeln sensibler Informationen spezialisiert ist. Die Malware verfügt über Remote-Access-Funktionen, einen Keylogger und Screen-Capture-Tools. 

SophosLabs, die Forschungsabteilung des IT-Sicherheitsunternehmens Sophos, berichtet, dass Duqus Treiber-Dateien ähnlich wie die von Stuxnet mit einer digitalen Signatur versehen sind. Das bei Duqu verwendete Zertifikat ist auf das Unternehmen C-Media, einen taiwanesischen Hersteller von Onboard-Soundkarten, ausgestellt. SophosLabs merkt an, dass bei Stuxnet Zertifikate der Unternehmen RealTek and JMicron verwendet wurden, die beide ebenfalls Onboard-Chipsätze herstellen und außerdem in derselben geographischen Region angesiedelt sind wie C-Media. Dies sei womöglich kein Zufall, so die Sicherheitsexperten. Das IT-Sicherheitsunternehmen Symantec berichtet, dass die zum Signieren des Zertifikats verwendeten Private Keys gestohlen und nicht mit Hilfe kompromittierter Zertifikate selbst generiert wurden. Dies habe man untersucht, da das fragliche Unternehmen ein Symantec-Kunde sei.

 "Wie bei Stuxnet ist es zu früh, irgend etwas definitives über das wer, warum oder den genauen Zweck dieser Malware zu sagen. Ich kann Ihnen versichern, dass die Sicherheitsindustrie diese Codebeispiele eingehend analysieren wird, um ihren Zweck festzustellen," so der Sophos-Sicherheitsanalyst Chester Wisniewski. Die Analysten des Unternehmens Symantec halten Duqu für "den Vorläufer eines zukünftigen Stuxnet-ähnlichen Angriffs". Sie vermuten, dass Duqu Informationen über Industrie-Systeme sammeln soll, die für zukünftige Angriffe auf die betreffenden Systeme verwendet werden sollen. Duqu verbreitet sich nicht selbst, sondern wird von den Angreifern sehr gezielt eingesetzt. 

Bislang ist sich die Sicherheits-Gemeinde unsicher, ob Duqu von den selben Autoren programmiert wurde wie Stuxnet, oder ob die Programmierer lediglich Zugriff auf Stuxnets Codebasis hatten. 

Text-Quellen: McAfee Naked Security Symantec

Annika Kremer (g+) am Mittwoch, 19.10.2011 12:44 Uhr

Tags: symantec sophos malware mcafee industriespionage it-forensik stuxnet duqu

• Home
• Board
• News
• NewsPresso
• Internet
• IT-Sicherheit
• Hard- und Software
• Games
• Mobile
• Werbung
• Presse
• Kontakt
• Betreiberinfos
• Chat
• Jobs
• Suche

© 1998-2013 InQnet GmbH