Kaspersky-Einbruch: Trojaner Duqu nutzte gestohlene Foxconn-Zertifikate

Beim Angriff auf die IT-Infrastruktur von Kaspersky nutzte der Trojaner Duqu 2.0 legitime, aber offenbar gestohlene Zertifikate des Herstellers Foxconn, um seine Treiber zu installieren.

Artikel veröffentlicht am , //dpa
Duqu 2.0 nutzt gestohlene Zertifikate für die Installation seiner Treiber.
Duqu 2.0 nutzt gestohlene Zertifikate für die Installation seiner Treiber. (Bild: Kaspersky)

Bei seiner Analyse der Schadsoftware Duqu 2.0 gibt das betroffene russische IT-Sicherheitsunternehmen Kaspersky Lab immer mehr Details bekannt: Die Malware nutze gestohlene Zertifikate, um sich als Treiber getarnt auf ausgewählten Rechnern zu installieren, heißt es in einem aktuellen Blogpost. Beobachtungen zufolge nutzen die unbekannten Angreifer bei ähnlichen Angriffen stets legitime, aber immer verschiedene Zertifikate.

Stellenmarkt
  1. IT-Koordination und Teamleitung (w/m/d)
    Hochschule für Musik Freiburg i. Br., Freiburg
  2. ERP-Anwendungsentwickler m/w/d
    RAMPF Holding GmbH & Co. KG, Grafenberg (bei Metzingen)
Detailsuche

Die mit den Zertifikaten installierten Treiber dienten als Schnittstelle zwischen der kompromittierten IT-Infrastruktur und den Servern, die die Angreifer zur Steuerung der Malware und Übermittlung von gestohlenen Daten nutzen. Entdeckt haben sie die Experten bei Kaspersky auf Firewall- und Gatewayservern. Es seien die einzigen persistenten Komponenten von Duqu 2.0. Ansonsten läuft die Schadsoftware lediglich im Arbeitsspeicher, was die Entdeckung besonders erschwert.

Treiber sorgt für Port-Weiterleitungen

Der Name des 64-Bit-Treibers wird wohl von den Angreifern stets neu vergeben, resümieren die Analysten bei Kaspersky Labs. Darauf deute hin, dass deren interner Name Termport.sys lautete, während der Dateiname Portserv.sys war. Der Datenverkehr zwischen externem Server und den angegriffenen Rechnern wird über den Port 443 weitergeleitet, um ihn als verschlüsselten HTTPS-Verkehr zu tarnen. Im kompromittierten Netzwerk nutzt der Treiber hingegen den Port 445 der Windows-Server-Dienste, vermutlich, um gestohlene Daten zu transferieren. Außerdem übermittelt der Treiber Daten über Port 3389, über den das Remote-Desktop-Protokoll läuft. Welcher Port verwendet werden soll, wird durch eine bestimmte Zeichenkette bestimmt, die die Angreifer an den Treiber schicken, für Port 445 lautet er "ugly.gorilla1".

Lediglich einen ungewöhnlichen Port mit der Nummer 47012 entdeckten die Experten im Code des Treibers. Da er nur selten verwendet wird, könnte er als Hinweis für eine Kompromittierung dienen.

Gestohlene Zertifikate von Foxconn, Jmicron und Realtek

Golem Akademie
  1. CEH Certified Ethical Hacker v11
    8.-12. November 2021, online
  2. Penetration Testing Fundamentals
    17.-18. Januar 2022, online
  3. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, online
Weitere IT-Trainings

Die von den Angreifern bei Kaspersky verwendeten Zertifikate wurden von Versign auf das Unternehmen "HON HAI PRECISION INDUSTRY CO. LTD." ausgestellt, auch bekannt als "Foxconn Technology Group". Sowohl Foxconn als auch Verisign hat Kaspersky informiert. Bei bisherigen Angriffen mit Duqu-Derivaten entdeckten die Experten bei Kaspersky gestohlene Zertifikate der Hersteller Jmicron und Realtek.

Der Virus sei eine Weiterentwicklung der Schadsoftware Duqu, die mit dem bekannten Computerwurm Stuxnet verwandt ist. Stuxnet war nach bisherigen Informationen entwickelt worden, um das iranische Atomprogramm zu sabotieren. Die jetzt entdeckte Software sei so aufwendig, dass ihre Entwicklung mehr als zehn Millionen Dollar gekostet haben dürfte, sagte Kaspersky.

Sie hat der Mitteilung zufolge vermutlich bis zu drei unbekannte Sicherheitslücken im Betriebssystem Windows ausgenutzt. Die letzte verbliebene Zero-Day-Lücke CVE-2015-2306 sei durch Microsoft am 9. Juni 2015 gepatcht worden. Nachdem die Attacke Domain-Administrator-Privilegien erhalten habe, habe sich die Malware im Netzwerk durch MSI-Dateien (Microsoft Software Installer) verteilt, die in der Regel von Systemadministratoren genutzt würden, um Software auf Windows-Rechnern per Fernzugriff einzurichten.

Auch andere Unternehmen angeblich betroffen

Laut Kaspersky wurde die Schadsoftware, die den Namen Duqu 2.0 bekam, auch an Verhandlungsorten bei den Atomgesprächen mit dem Iran entdeckt. Kaspersky-Konkurrent Symantec berichtete am Mittwoch, das Schadprogramm sei zudem bei einem europäischen Telekom-Unternehmen, einem Elektronikhersteller aus Südostasien sowie auf Computern in den USA, Großbritannien, Schweden und Hongkong entdeckt worden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Macbook Pro
Apple bestätigt High Power Mode für M1 Max

Käufer des Macbook Pro mit M1 Max können wohl in MacOS Monterey per Klick noch mehr Leistung aus dem Gerät herausholen.

Macbook Pro: Apple bestätigt High Power Mode für M1 Max
Artikel
  1. Bundesregierung: Autobahn App 2.0 im ersten Quartal 2022 geplant
    Bundesregierung
    Autobahn App 2.0 im ersten Quartal 2022 geplant

    Die Opposition kritisiert die massiven Kosten, Nutzer bewerten die App schlecht. Dennoch soll die Autobahn App nun erweitert werden.

  2. Klage: Google soll E-Privacy und Werbemarkt manipuliert haben
    Klage
    Google soll E-Privacy und Werbemarkt manipuliert haben

    Mehrere US-Bundesstaaten haben Klage gegen Google eingereicht. Das Unternehmen rühmt sich derweil, Regulierungen verlangsamt zu haben.

  3. Silence S04: Günstiges Elektroauto mit herausnehmbaren Akku vorgestellt
    Silence S04
    Günstiges Elektroauto mit herausnehmbaren Akku vorgestellt

    Beim Elektroauto Silence S04 kann der Nutzer den Akku selbst wechseln, wenn dieser leergefahren ist.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Gutscheinheft mit Direktabzügen und Zugaben • Nur noch heute: Mehrwertsteuer-Aktion bei MediaMarkt • Roccat Suora 43,99€ • Razer Goliathus Extended Chroma Mercury ab 26,99€ • Seagate SSDs & HDDs günstiger • Alternate (u. a. ASUS ROG Strix Z590-A Gaming WIFI 258€) [Werbung]
    •  /