Am 14. Oktober hat Symantec von einem Forschungslabor, das selbst Schadsoftware analysiert, Informationen über einen Schadcode namens DuQu erhalten, der dem berüchtigten Stuxnet-Trojaner sehr ähnelt. "Es war definitiv keine Behörde, von der wir die Infos bekommen haben", betont Candit Wüest von Symantec. Der Name des Virus leitet sich aus der Vorsilbe "DQ" ab, die das Virus den erzeugten Dateien voranstellt. Auffällig an Duqu ist, dass die Programmierer des neuen Schadprogramms offensichtlich Zugriff auf den Quellcode von Stuxnet hatten – und nicht etwa nur auf dessen Binärdateien. "Etwa 50 Prozent des Codes sind identisch", bestätigt Wüest. Laut Symantec ist es daher möglich, dass DuQu von denselben Personen entwickelt wurde, die Stuxnet erschaffen haben. Trotz der Ähnlichkeit mit dem Stuxnet-Code, hat DuQu aber eine andere Zielsetzung.

Stand bei Stuxnet die Infiltration von Steuerungen und Prozessleitsystemen und deren heimliche Manipulation im Mittelpunkt, wurde DuQu entwickelt, um Daten und Systeme auszuspähen, unter anderem von Herstellern industrieller Automatisierungssysteme. Die Angreifer suchen damit gezielt nach Informationen, wie Konstruktionspläne, mit denen sie einen späteren Angriff gegen Kontrollanlagen vorbereiten könnten. Daher bezeichnet Symantec DuQu auch als Vorläufer eines neuen Stuxnet-ähnlichen Angriffs, der dazu potenzielle Ziele auskundschaftet. "Dateisignaturen weisen darauf hin, dass das Ausspähen etwa im Dezember 2010 begonnen hat", so Wüest.

Verbreitungsweg soziale Netzwerke?

Laut des Symantec-Blogs „w32_duqu_precursor_next_stuxnet” handelt es sich bei der Schadsoftware um einen „Remote Access Trojan“ (RAT), der sich nicht selbstständig weiter verbreitet und auch keinen Programmcode für spezifische Steuerungen enthält. Das wirft Fragen zum möglichen Verbreitungsweg auf: Die Hacker könnten ihre Opfer gezielt ausgewählt und die Schadsoftware über gefälschte Mails und infizierte Dateianhänge gekapert haben. "Über die sozialen Netzwerke ist es kein Problem, die Freunde einer Zielperson zu identifizieren und eine Mail in ihrem Namen zu verschicken", so Wüest. Nach der Infektion installiert der Trojaner ein Programm zum Aufzeichnen von Screenshots und Tastatureingaben, beispielsweise Logindaten und Passwörter. Der Trojaner nutzt HTTP und HTTPS, um mit einem inzwischen abgeschalteten Command-and-Control-Server in Indien zu kommunizieren und die ausgespähten Informationen als getarnte Bilddateien (.jpg-Files) zu übertragen. 36 Tage nach der Installation löscht sich das Virus automatisch und ist danach nicht mehr aufspürbar.

Aktuell (Stand 19. Oktober) berichtet Symantec von weiteren DuQu-Varianten, die von einem anderen Institut gemeldet wurden. Dazu Wüest: "Diese Versionen wurden wahrscheinlich auf einen speziellen Einsatzfall angepasst, haben aber das gleiche Ziel, den Diebstahl von Informationen". Inzwischen ist die Signatur des Virus bekannt und über die Updates der Viren-Scanner verfügbar. Bleibt noch die Funktionsweise und den Infektionsweg vollends nachzuvollziehen und der Versuch, die Verursacher ausfindig zu machen.