Abo
  • Services:
Anzeige
Duqu 2.0 nutzt gestohlene Zertifikate für die Installation seiner Treiber.
Duqu 2.0 nutzt gestohlene Zertifikate für die Installation seiner Treiber. (Bild: Kaspersky)

Kaspersky-Einbruch: Trojaner Duqu nutzte gestohlene Foxconn-Zertifikate

Duqu 2.0 nutzt gestohlene Zertifikate für die Installation seiner Treiber.
Duqu 2.0 nutzt gestohlene Zertifikate für die Installation seiner Treiber. (Bild: Kaspersky)

Beim Angriff auf die IT-Infrastruktur von Kaspersky nutzte der Trojaner Duqu 2.0 legitime, aber offenbar gestohlene Zertifikate des Herstellers Foxconn, um seine Treiber zu installieren.

Bei seiner Analyse der Schadsoftware Duqu 2.0 gibt das betroffene russische IT-Sicherheitsunternehmen Kaspersky Lab immer mehr Details bekannt: Die Malware nutze gestohlene Zertifikate, um sich als Treiber getarnt auf ausgewählten Rechnern zu installieren, heißt es in einem aktuellen Blogpost. Beobachtungen zufolge nutzen die unbekannten Angreifer bei ähnlichen Angriffen stets legitime, aber immer verschiedene Zertifikate.

Anzeige

Die mit den Zertifikaten installierten Treiber dienten als Schnittstelle zwischen der kompromittierten IT-Infrastruktur und den Servern, die die Angreifer zur Steuerung der Malware und Übermittlung von gestohlenen Daten nutzen. Entdeckt haben sie die Experten bei Kaspersky auf Firewall- und Gatewayservern. Es seien die einzigen persistenten Komponenten von Duqu 2.0. Ansonsten läuft die Schadsoftware lediglich im Arbeitsspeicher, was die Entdeckung besonders erschwert.

Treiber sorgt für Port-Weiterleitungen

Der Name des 64-Bit-Treibers wird wohl von den Angreifern stets neu vergeben, resümieren die Analysten bei Kaspersky Labs. Darauf deute hin, dass deren interner Name Termport.sys lautete, während der Dateiname Portserv.sys war. Der Datenverkehr zwischen externem Server und den angegriffenen Rechnern wird über den Port 443 weitergeleitet, um ihn als verschlüsselten HTTPS-Verkehr zu tarnen. Im kompromittierten Netzwerk nutzt der Treiber hingegen den Port 445 der Windows-Server-Dienste, vermutlich, um gestohlene Daten zu transferieren. Außerdem übermittelt der Treiber Daten über Port 3389, über den das Remote-Desktop-Protokoll läuft. Welcher Port verwendet werden soll, wird durch eine bestimmte Zeichenkette bestimmt, die die Angreifer an den Treiber schicken, für Port 445 lautet er "ugly.gorilla1".

Lediglich einen ungewöhnlichen Port mit der Nummer 47012 entdeckten die Experten im Code des Treibers. Da er nur selten verwendet wird, könnte er als Hinweis für eine Kompromittierung dienen.

Gestohlene Zertifikate von Foxconn, Jmicron und Realtek

Die von den Angreifern bei Kaspersky verwendeten Zertifikate wurden von Versign auf das Unternehmen "HON HAI PRECISION INDUSTRY CO. LTD." ausgestellt, auch bekannt als "Foxconn Technology Group". Sowohl Foxconn als auch Verisign hat Kaspersky informiert. Bei bisherigen Angriffen mit Duqu-Derivaten entdeckten die Experten bei Kaspersky gestohlene Zertifikate der Hersteller Jmicron und Realtek.

Der Virus sei eine Weiterentwicklung der Schadsoftware Duqu, die mit dem bekannten Computerwurm Stuxnet verwandt ist. Stuxnet war nach bisherigen Informationen entwickelt worden, um das iranische Atomprogramm zu sabotieren. Die jetzt entdeckte Software sei so aufwendig, dass ihre Entwicklung mehr als zehn Millionen Dollar gekostet haben dürfte, sagte Kaspersky.

Sie hat der Mitteilung zufolge vermutlich bis zu drei unbekannte Sicherheitslücken im Betriebssystem Windows ausgenutzt. Die letzte verbliebene Zero-Day-Lücke CVE-2015-2306 sei durch Microsoft am 9. Juni 2015 gepatcht worden. Nachdem die Attacke Domain-Administrator-Privilegien erhalten habe, habe sich die Malware im Netzwerk durch MSI-Dateien (Microsoft Software Installer) verteilt, die in der Regel von Systemadministratoren genutzt würden, um Software auf Windows-Rechnern per Fernzugriff einzurichten.

Auch andere Unternehmen angeblich betroffen

Laut Kaspersky wurde die Schadsoftware, die den Namen Duqu 2.0 bekam, auch an Verhandlungsorten bei den Atomgesprächen mit dem Iran entdeckt. Kaspersky-Konkurrent Symantec berichtete am Mittwoch, das Schadprogramm sei zudem bei einem europäischen Telekom-Unternehmen, einem Elektronikhersteller aus Südostasien sowie auf Computern in den USA, Großbritannien, Schweden und Hongkong entdeckt worden.


eye home zur Startseite
elgooG 17. Jun 2015

Würde ich nicht sagen. Meist ist es sogar umgekehrt, dass jemand der fast nichts verdient...



Anzeige

Stellenmarkt
  1. PTV Group, Karlsruhe
  2. OSRAM GmbH, Regensburg
  3. Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB, Karlsruhe
  4. Robert Bosch GmbH, Stuttgart-Vaihingen


Anzeige
Blu-ray-Angebote
  1. (u. a. Resident Evil: Vendetta 14,99€, John Wick: Kapitel 2 9,99€, Fight Club 8,29€ und...
  2. 24,99€ (Vorbesteller-Preisgarantie)
  3. 49,99€ mit Vorbesteller-Preisgarantie

Folgen Sie uns
       


  1. Infrastrukturabgabe

    Kleinere deutsche Kabelnetzbetreiber wollen Geld von Netflix

  2. Pixel 2 und Pixel 2 XL im Test

    Google fehlt der Mut

  3. Baden-Württemberg

    Unitymedia schließt Sendeplatzumstellung ab

  4. Gesetz gegen Hasskommentare

    Die höchsten Bußgelder drohen nur Facebook

  5. GPD Pocket im Test

    Winziger Laptop für Wenigtipper

  6. Neue WLAN-Treiber

    Intel muss WLAN und AMT-Management gegen Krack patchen

  7. Kabel-Radio

    Sachsen will auch schnelle UKW-Abschaltung im Kabel

  8. To Be Honest

    Facebook kauft Wahrheits-App

  9. Lüfter

    Noctua kann auch in Schwarz

  10. Microsoft

    Supreme Court entscheidet über die Zukunft der Cloud



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Core i7-8700K und Core i5-8400 im Test: Ein Sechser von Intel
Core i7-8700K und Core i5-8400 im Test
Ein Sechser von Intel
  1. Core i7-8700K Ultra Edition Overclocking-CPU mit Silber-IHS und Flüssigmetall
  2. Intel Coffee Lake Von Boost-Betteln und Turbo-Tricks
  3. Coffee Lake Intel verkauft sechs Kerne für unter 200 Euro

Blade Runner 2049: Ein gelungenes Update für die Zukunft
Blade Runner 2049
Ein gelungenes Update für die Zukunft

Programmiersprache für Android: Kotlin ist auch nur eine Insel
Programmiersprache für Android
Kotlin ist auch nur eine Insel
  1. Programmiersprache Fetlang liest sich "wie schlechte Erotikliteratur"
  2. CMS Drupal 8.4 stabilisiert Module
  3. Vespa Yahoos Big-Data-Engine wird Open-Source-Projekt

  1. Re: muss nicht zwangsweise bei Steam aktiviert werden

    Tom85 | 15:32

  2. Re: Heutzutage wird auch viel geklebt

    David64Bit | 15:30

  3. Re: Preis - Fehler?

    tk (Golem.de) | 15:29

  4. Re: Hab einen mit Linux bestellt.

    IchBIN | 15:28

  5. Re: unsere Gesellschaft ist einfach nur noch eine...

    Umaru | 15:26


  1. 15:34

  2. 15:00

  3. 14:26

  4. 13:15

  5. 11:59

  6. 11:54

  7. 11:50

  8. 11:41


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel