Abo
  • Services:
Anzeige
Duqu 2.0 nutzt gestohlene Zertifikate für die Installation seiner Treiber.
Duqu 2.0 nutzt gestohlene Zertifikate für die Installation seiner Treiber. (Bild: Kaspersky)

Kaspersky-Einbruch: Trojaner Duqu nutzte gestohlene Foxconn-Zertifikate

Duqu 2.0 nutzt gestohlene Zertifikate für die Installation seiner Treiber.
Duqu 2.0 nutzt gestohlene Zertifikate für die Installation seiner Treiber. (Bild: Kaspersky)

Beim Angriff auf die IT-Infrastruktur von Kaspersky nutzte der Trojaner Duqu 2.0 legitime, aber offenbar gestohlene Zertifikate des Herstellers Foxconn, um seine Treiber zu installieren.

Bei seiner Analyse der Schadsoftware Duqu 2.0 gibt das betroffene russische IT-Sicherheitsunternehmen Kaspersky Lab immer mehr Details bekannt: Die Malware nutze gestohlene Zertifikate, um sich als Treiber getarnt auf ausgewählten Rechnern zu installieren, heißt es in einem aktuellen Blogpost. Beobachtungen zufolge nutzen die unbekannten Angreifer bei ähnlichen Angriffen stets legitime, aber immer verschiedene Zertifikate.

Anzeige

Die mit den Zertifikaten installierten Treiber dienten als Schnittstelle zwischen der kompromittierten IT-Infrastruktur und den Servern, die die Angreifer zur Steuerung der Malware und Übermittlung von gestohlenen Daten nutzen. Entdeckt haben sie die Experten bei Kaspersky auf Firewall- und Gatewayservern. Es seien die einzigen persistenten Komponenten von Duqu 2.0. Ansonsten läuft die Schadsoftware lediglich im Arbeitsspeicher, was die Entdeckung besonders erschwert.

Treiber sorgt für Port-Weiterleitungen

Der Name des 64-Bit-Treibers wird wohl von den Angreifern stets neu vergeben, resümieren die Analysten bei Kaspersky Labs. Darauf deute hin, dass deren interner Name Termport.sys lautete, während der Dateiname Portserv.sys war. Der Datenverkehr zwischen externem Server und den angegriffenen Rechnern wird über den Port 443 weitergeleitet, um ihn als verschlüsselten HTTPS-Verkehr zu tarnen. Im kompromittierten Netzwerk nutzt der Treiber hingegen den Port 445 der Windows-Server-Dienste, vermutlich, um gestohlene Daten zu transferieren. Außerdem übermittelt der Treiber Daten über Port 3389, über den das Remote-Desktop-Protokoll läuft. Welcher Port verwendet werden soll, wird durch eine bestimmte Zeichenkette bestimmt, die die Angreifer an den Treiber schicken, für Port 445 lautet er "ugly.gorilla1".

Lediglich einen ungewöhnlichen Port mit der Nummer 47012 entdeckten die Experten im Code des Treibers. Da er nur selten verwendet wird, könnte er als Hinweis für eine Kompromittierung dienen.

Gestohlene Zertifikate von Foxconn, Jmicron und Realtek

Die von den Angreifern bei Kaspersky verwendeten Zertifikate wurden von Versign auf das Unternehmen "HON HAI PRECISION INDUSTRY CO. LTD." ausgestellt, auch bekannt als "Foxconn Technology Group". Sowohl Foxconn als auch Verisign hat Kaspersky informiert. Bei bisherigen Angriffen mit Duqu-Derivaten entdeckten die Experten bei Kaspersky gestohlene Zertifikate der Hersteller Jmicron und Realtek.

Der Virus sei eine Weiterentwicklung der Schadsoftware Duqu, die mit dem bekannten Computerwurm Stuxnet verwandt ist. Stuxnet war nach bisherigen Informationen entwickelt worden, um das iranische Atomprogramm zu sabotieren. Die jetzt entdeckte Software sei so aufwendig, dass ihre Entwicklung mehr als zehn Millionen Dollar gekostet haben dürfte, sagte Kaspersky.

Sie hat der Mitteilung zufolge vermutlich bis zu drei unbekannte Sicherheitslücken im Betriebssystem Windows ausgenutzt. Die letzte verbliebene Zero-Day-Lücke CVE-2015-2306 sei durch Microsoft am 9. Juni 2015 gepatcht worden. Nachdem die Attacke Domain-Administrator-Privilegien erhalten habe, habe sich die Malware im Netzwerk durch MSI-Dateien (Microsoft Software Installer) verteilt, die in der Regel von Systemadministratoren genutzt würden, um Software auf Windows-Rechnern per Fernzugriff einzurichten.

Auch andere Unternehmen angeblich betroffen

Laut Kaspersky wurde die Schadsoftware, die den Namen Duqu 2.0 bekam, auch an Verhandlungsorten bei den Atomgesprächen mit dem Iran entdeckt. Kaspersky-Konkurrent Symantec berichtete am Mittwoch, das Schadprogramm sei zudem bei einem europäischen Telekom-Unternehmen, einem Elektronikhersteller aus Südostasien sowie auf Computern in den USA, Großbritannien, Schweden und Hongkong entdeckt worden.


eye home zur Startseite
elgooG 17. Jun 2015

Würde ich nicht sagen. Meist ist es sogar umgekehrt, dass jemand der fast nichts verdient...



Anzeige

Stellenmarkt
  1. DeutschlandCard GmbH, München
  2. Deutsche Telekom AG, Bonn
  3. Teambank AG, Nürnberg
  4. SICK AG, Sexau


Anzeige
Spiele-Angebote
  1. 59,99€/69,99€ (Vorbesteller-Preisgarantie)
  2. (-10%) 17,99€
  3. (-17%) 49,99€

Folgen Sie uns
       


  1. Webserver

    Nginx 1.13 erscheint mit TLS-1.3-Support

  2. Europäischer Gerichtshof

    Streaming aus illegalen Quellen ist rechtswidrig

  3. Cryogenic Memory

    Rambus arbeitet an tiefgekühltem Quantenspeicher

  4. Bonaverde

    Von einem, den das Kaffeerösten das Fürchten lehrte

  5. Festo

    Der Octopus Gripper nimmt Objekte in den Schwitzkasten

  6. Microsoft

    "Es gilt, die Potenziale von Mädchen zu fördern"

  7. Hochschulen

    Ein Drittel mehr Informatik-Studienanfängerinnen

  8. Webroot Endpoint Security

    Antivirusprogramm steckt Windows-Dateien in Quarantäne

  9. 1 GBit/s

    Mobilfunkbetreiber verkauft LTE als 5G Evolution

  10. 3D Xpoint

    Intels Optane Memory überzeugt nur bedingt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Fire TV Stick 2 im Test: Der Stick macht den normalen Fire TV (fast) überflüssig
Fire TV Stick 2 im Test
Der Stick macht den normalen Fire TV (fast) überflüssig
  1. Streaming Amazon bringt Alexa auch auf ältere Fire-TV-Geräte
  2. Streaming Amazon plant Fire TV mit 4K- und HDR-Unterstützung
  3. Fire TV Stick 2 mit Alexa im Hands on Amazons attraktiver Einstieg in die Streaming-Welt

Garmin Fenix 5 im Test: Die Minimap am Handgelenk
Garmin Fenix 5 im Test
Die Minimap am Handgelenk

Creators Update im Test: Erhöhter Reifegrad für Windows 10
Creators Update im Test
Erhöhter Reifegrad für Windows 10
  1. Microsoft Zwei große Updates pro Jahr für Windows 10
  2. Creators Update Game Mode macht Spiele runder und Windows 10 ruckelig
  3. Windows 10 Version 17xx-2 Stromsparmodus kommt für die nächste Windows-Version

  1. Re: Ich sehe das kritisch

    sinner89 | 13:50

  2. Re: Vorbild

    Eisboer | 13:50

  3. Re: Premiumnutzer

    Kakiss | 13:50

  4. Täusche ich mich...

    nykiel.marek | 13:49

  5. Re: Jungs-Perspektive

    opodeldox | 13:49


  1. 13:07

  2. 12:47

  3. 12:45

  4. 12:07

  5. 12:04

  6. 11:55

  7. 11:46

  8. 11:22


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel