Abo
  • Services:
Anzeige
Duqu 2.0 nutzt gestohlene Zertifikate für die Installation seiner Treiber.
Duqu 2.0 nutzt gestohlene Zertifikate für die Installation seiner Treiber. (Bild: Kaspersky)

Kaspersky-Einbruch: Trojaner Duqu nutzte gestohlene Foxconn-Zertifikate

Duqu 2.0 nutzt gestohlene Zertifikate für die Installation seiner Treiber.
Duqu 2.0 nutzt gestohlene Zertifikate für die Installation seiner Treiber. (Bild: Kaspersky)

Beim Angriff auf die IT-Infrastruktur von Kaspersky nutzte der Trojaner Duqu 2.0 legitime, aber offenbar gestohlene Zertifikate des Herstellers Foxconn, um seine Treiber zu installieren.

Anzeige

Bei seiner Analyse der Schadsoftware Duqu 2.0 gibt das betroffene russische IT-Sicherheitsunternehmen Kaspersky Lab immer mehr Details bekannt: Die Malware nutze gestohlene Zertifikate, um sich als Treiber getarnt auf ausgewählten Rechnern zu installieren, heißt es in einem aktuellen Blogpost. Beobachtungen zufolge nutzen die unbekannten Angreifer bei ähnlichen Angriffen stets legitime, aber immer verschiedene Zertifikate.

Die mit den Zertifikaten installierten Treiber dienten als Schnittstelle zwischen der kompromittierten IT-Infrastruktur und den Servern, die die Angreifer zur Steuerung der Malware und Übermittlung von gestohlenen Daten nutzen. Entdeckt haben sie die Experten bei Kaspersky auf Firewall- und Gatewayservern. Es seien die einzigen persistenten Komponenten von Duqu 2.0. Ansonsten läuft die Schadsoftware lediglich im Arbeitsspeicher, was die Entdeckung besonders erschwert.

Treiber sorgt für Port-Weiterleitungen

Der Name des 64-Bit-Treibers wird wohl von den Angreifern stets neu vergeben, resümieren die Analysten bei Kaspersky Labs. Darauf deute hin, dass deren interner Name Termport.sys lautete, während der Dateiname Portserv.sys war. Der Datenverkehr zwischen externem Server und den angegriffenen Rechnern wird über den Port 443 weitergeleitet, um ihn als verschlüsselten HTTPS-Verkehr zu tarnen. Im kompromittierten Netzwerk nutzt der Treiber hingegen den Port 445 der Windows-Server-Dienste, vermutlich, um gestohlene Daten zu transferieren. Außerdem übermittelt der Treiber Daten über Port 3389, über den das Remote-Desktop-Protokoll läuft. Welcher Port verwendet werden soll, wird durch eine bestimmte Zeichenkette bestimmt, die die Angreifer an den Treiber schicken, für Port 445 lautet er "ugly.gorilla1".

Lediglich einen ungewöhnlichen Port mit der Nummer 47012 entdeckten die Experten im Code des Treibers. Da er nur selten verwendet wird, könnte er als Hinweis für eine Kompromittierung dienen.

Gestohlene Zertifikate von Foxconn, Jmicron und Realtek

Die von den Angreifern bei Kaspersky verwendeten Zertifikate wurden von Versign auf das Unternehmen "HON HAI PRECISION INDUSTRY CO. LTD." ausgestellt, auch bekannt als "Foxconn Technology Group". Sowohl Foxconn als auch Verisign hat Kaspersky informiert. Bei bisherigen Angriffen mit Duqu-Derivaten entdeckten die Experten bei Kaspersky gestohlene Zertifikate der Hersteller Jmicron und Realtek.

Der Virus sei eine Weiterentwicklung der Schadsoftware Duqu, die mit dem bekannten Computerwurm Stuxnet verwandt ist. Stuxnet war nach bisherigen Informationen entwickelt worden, um das iranische Atomprogramm zu sabotieren. Die jetzt entdeckte Software sei so aufwendig, dass ihre Entwicklung mehr als zehn Millionen Dollar gekostet haben dürfte, sagte Kaspersky.

Sie hat der Mitteilung zufolge vermutlich bis zu drei unbekannte Sicherheitslücken im Betriebssystem Windows ausgenutzt. Die letzte verbliebene Zero-Day-Lücke CVE-2015-2306 sei durch Microsoft am 9. Juni 2015 gepatcht worden. Nachdem die Attacke Domain-Administrator-Privilegien erhalten habe, habe sich die Malware im Netzwerk durch MSI-Dateien (Microsoft Software Installer) verteilt, die in der Regel von Systemadministratoren genutzt würden, um Software auf Windows-Rechnern per Fernzugriff einzurichten.

Auch andere Unternehmen angeblich betroffen

Laut Kaspersky wurde die Schadsoftware, die den Namen Duqu 2.0 bekam, auch an Verhandlungsorten bei den Atomgesprächen mit dem Iran entdeckt. Kaspersky-Konkurrent Symantec berichtete am Mittwoch, das Schadprogramm sei zudem bei einem europäischen Telekom-Unternehmen, einem Elektronikhersteller aus Südostasien sowie auf Computern in den USA, Großbritannien, Schweden und Hongkong entdeckt worden.


eye home zur Startseite
elgooG 17. Jun 2015

Würde ich nicht sagen. Meist ist es sogar umgekehrt, dass jemand der fast nichts verdient...



Anzeige

Stellenmarkt
  1. Diehl Comfort Modules, Hamburg
  2. über Ratbacher GmbH, Stuttgart (Home-Office möglich)
  3. Zweckverband Kommunale Informationsverarbeitung Baden-Franken, Karlsruhe, Freiburg
  4. über Hays AG, Karlsfeld


Anzeige
Spiele-Angebote
  1. 29,99€
  2. (-40%) 17,99€
  3. (u. a. Uncharted 4 34,99€, Ratchet & Clank 29,00€, The Last of Us Remastered 28,98€, The...

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Kritische Bereiche der IT-Sicherheit in Unternehmen
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Nintendo

    Super Mario Run für iOS läuft nur mit Onlineverbindung

  2. USA

    Samsung will Note 7 in Backsteine verwandeln

  3. Hackerangriffe

    Obama will Einfluss Russlands auf US-Wahl untersuchen lassen

  4. Free 2 Play

    US-Amerikaner verzockte 1 Million US-Dollar in Game of War

  5. Die Woche im Video

    Bei den Abmahnanwälten knallen wohl schon die Sektkorken

  6. DNS NET

    Erste Kunden in Sachsen-Anhalt erhalten 500 MBit/s

  7. Netzwerk

    EWE reduziert FTTH auf 40 MBit/s im Upload

  8. Rahmenvertrag

    VG Wort will mit Unis neue Zwischenlösung für 2017 finden

  9. Industriespionage

    Wie Thyssenkrupp seine Angreifer fand

  10. Kein Internet

    Nach Windows-Update weltweit Computer offline



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Canon EOS 5D Mark IV im Test: Grundsolides Arbeitstier mit einer Portion Extravaganz
Canon EOS 5D Mark IV im Test
Grundsolides Arbeitstier mit einer Portion Extravaganz
  1. Video Youtube spielt Livestreams in 4K ab
  2. Ausgabegeräte Youtube unterstützt Videos mit High Dynamic Range
  3. Canon EOS M5 Canons neue Systemkamera hat einen integrierten Sucher

Named Data Networking: NDN soll das Internet revolutionieren
Named Data Networking
NDN soll das Internet revolutionieren
  1. Geheime Überwachung Der Kanarienvogel von Riseup singt nicht mehr
  2. Bundesförderung Bundesländer lassen beim Breitbandausbau Milliarden liegen
  3. Internet Protocol Der Adresskollaps von IPv4 kann verzögert werden

Nach Angriff auf Telekom: Mit dem Strafrecht Router ins Terrorcamp schicken oder so
Nach Angriff auf Telekom
Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  1. Pornoseite Xhamster spricht von Fake-Leak
  2. Mitfahrgelegenheit.de 640.000 Ibans von Mitfahrzentrale-Nutzern kopiert
  3. Spionage Malware kann Kopfhörer als Mikrofon nutzen

  1. Re: Eigentlich reicht auch der Entzug der...

    stoneburner | 19:26

  2. Re: Diese ganzen angeblichen F2P sollte man...

    Olga Maslochov | 19:20

  3. Macht viel Sinn

    chithanh | 19:17

  4. Re: Uuund raus

    Squirrelchen | 19:11

  5. Re: Nö.

    NativesAlter | 19:10


  1. 17:27

  2. 12:53

  3. 12:14

  4. 11:07

  5. 09:01

  6. 18:40

  7. 17:30

  8. 17:13


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel