Stuxnet-Nachfolger

Duqu - Werkzeug für gezielte Attacken

Nach Symantec warnt nun auch der Security-Anbieter Kapersky Lab vor dem Stuxnet-Nachfolger Duqu. Erste Analysen ergaben, dass bei den bisher entdeckten DuQu-Modifikationen die verwendeten Treiber verändert wurden. Das komplexes Spionage-Programm stiehlt zielgerichtet sensible Informationen von Unternehmen und politischen Organisationen.

Welche Ziele die Cyber-Kriminellen mit dem Stuxnet-Derivat Duqu verfolgen, das bleibt auch für die Kapersky-Experten ein Rätsel. Das Schadprogramm ist ein universelles Werkzeug, das je nach Einsatz modifiziert werden kann. Nach ersten Analysen ergeben sich folgende Erkenntnisse:

"Wir wissen noch nicht, wie sich die Computer mit dem Trojaner infiziert haben", so Tillman Werner, Senior Viros Analyst bei Kaspersky Lab. "Wenn Duqu aber erst einmal in den Computer eingeschleust ist, modifiziert er die Sicherheitsprogramme so, dass er nicht mehr erkannt wird und unbemerkt bleibt. Die Qualität des Schadprogramms ist verblüffend hoch."

Amerikanische IP-Adresse als Ursprung?

Bisher wurden nur wenige Duqu-Infektionen entdeckt; das unterscheidet ihn von Stuxnet. Nachdem erste Versionen von Duqu aufgetaucht sind, konnte Kaspersky Lab über sein Cloud-basiertes Security Network vier neue Infektionen feststellen: Eine im Sudan und drei weitere im Iran. Bei den genannten Fällen wurde für die Infizierung jeweils speziell modifiziert Versionen des Treibers verwendet. Im Iran konnten bei einem der Vorfälle zwei versuchte Netzwerk-Attacken festgestellt werden, welche auf die Schwachstelle MS08-067 abzielten, die bereits von Stuxnet missbraucht wurden. Beide Netzwerk-Attacken fanden im Oktober 2011 statt und wurden von derselben IP-Adresse ausgeführt, die offiziell einem US-Internet-Provider gehört. Hätte es nur eine Netzwerk-Attacke gegeben, wäre der Angriff als typisch für das Schadprogramm Kido klassifiziert worden. Laut Kaspersky weist alles auf einen expliziten Angriff auf ein iranisches Ziel hin, da es in diesem Fall gleich zwei aufeinander folgende Angriffe gab. Es ist jedoch möglich, dass bei diesem Angriff noch weitere Schwachstellen ausgenutzt wurden.

"Obwohl sich die von Duqu attackierten Ziele im Iran befinden, gibt es bisher keine Beweise, dass es das Schadprogramm auf iranische Industrie- und Atomanlagen abgesehen hat", sagt Alexander Gostev, Chief Security Expert bei Kaspersky Lab. "Daher können wir nicht bestätigen, dass Duqu dasselbe Ziel wie Stuxnet hat. Dennoch sind die Duqu-Infektionen einzigartig. Deshalb gehen wir davon aus, dass Duqu für zielgerichtete und maßgeschneiderte Attacken eingesetzt wird."

Werner ergänzt: "Bei Duqu deutet vieles darauf hin, dass die Angreifer es auf den Diebstahl von Informationen aus Unternehmen oder politischen Organisationen abgesehen haben. Denn wir haben bei Duqu keine destruktiven Eigenschaften entdeckt. Duqu ist noch komplexer als Stuxnet. Wir nehmen zudem an, dass er aus derselben Quelle wie Stuxnet stammt. Wer auch immer so ein Schadprogramm entwickelt, verfügt über viel Geld, Zeit und Wissen."

Weiterführende Links:

• Security-Studie:: Mitarbeiter sind die gefährlichsten Trojaner
• Security: Stuxnet-Derivat entdeckt
• IT-Sicherheit: Deutscher Meister IT-Security 2011 gekürt
• Security: Hacking-Trends 2012