Abo
  • Services:
Anzeige
Duqu 2.0 nutzt gestohlene Zertifikate für die Installation seiner Treiber.
Duqu 2.0 nutzt gestohlene Zertifikate für die Installation seiner Treiber. (Bild: Kaspersky)

Kaspersky-Einbruch: Trojaner Duqu nutzte gestohlene Foxconn-Zertifikate

Duqu 2.0 nutzt gestohlene Zertifikate für die Installation seiner Treiber.
Duqu 2.0 nutzt gestohlene Zertifikate für die Installation seiner Treiber. (Bild: Kaspersky)

Beim Angriff auf die IT-Infrastruktur von Kaspersky nutzte der Trojaner Duqu 2.0 legitime, aber offenbar gestohlene Zertifikate des Herstellers Foxconn, um seine Treiber zu installieren.

Bei seiner Analyse der Schadsoftware Duqu 2.0 gibt das betroffene russische IT-Sicherheitsunternehmen Kaspersky Lab immer mehr Details bekannt: Die Malware nutze gestohlene Zertifikate, um sich als Treiber getarnt auf ausgewählten Rechnern zu installieren, heißt es in einem aktuellen Blogpost. Beobachtungen zufolge nutzen die unbekannten Angreifer bei ähnlichen Angriffen stets legitime, aber immer verschiedene Zertifikate.

Anzeige

Die mit den Zertifikaten installierten Treiber dienten als Schnittstelle zwischen der kompromittierten IT-Infrastruktur und den Servern, die die Angreifer zur Steuerung der Malware und Übermittlung von gestohlenen Daten nutzen. Entdeckt haben sie die Experten bei Kaspersky auf Firewall- und Gatewayservern. Es seien die einzigen persistenten Komponenten von Duqu 2.0. Ansonsten läuft die Schadsoftware lediglich im Arbeitsspeicher, was die Entdeckung besonders erschwert.

Treiber sorgt für Port-Weiterleitungen

Der Name des 64-Bit-Treibers wird wohl von den Angreifern stets neu vergeben, resümieren die Analysten bei Kaspersky Labs. Darauf deute hin, dass deren interner Name Termport.sys lautete, während der Dateiname Portserv.sys war. Der Datenverkehr zwischen externem Server und den angegriffenen Rechnern wird über den Port 443 weitergeleitet, um ihn als verschlüsselten HTTPS-Verkehr zu tarnen. Im kompromittierten Netzwerk nutzt der Treiber hingegen den Port 445 der Windows-Server-Dienste, vermutlich, um gestohlene Daten zu transferieren. Außerdem übermittelt der Treiber Daten über Port 3389, über den das Remote-Desktop-Protokoll läuft. Welcher Port verwendet werden soll, wird durch eine bestimmte Zeichenkette bestimmt, die die Angreifer an den Treiber schicken, für Port 445 lautet er "ugly.gorilla1".

Lediglich einen ungewöhnlichen Port mit der Nummer 47012 entdeckten die Experten im Code des Treibers. Da er nur selten verwendet wird, könnte er als Hinweis für eine Kompromittierung dienen.

Gestohlene Zertifikate von Foxconn, Jmicron und Realtek

Die von den Angreifern bei Kaspersky verwendeten Zertifikate wurden von Versign auf das Unternehmen "HON HAI PRECISION INDUSTRY CO. LTD." ausgestellt, auch bekannt als "Foxconn Technology Group". Sowohl Foxconn als auch Verisign hat Kaspersky informiert. Bei bisherigen Angriffen mit Duqu-Derivaten entdeckten die Experten bei Kaspersky gestohlene Zertifikate der Hersteller Jmicron und Realtek.

Der Virus sei eine Weiterentwicklung der Schadsoftware Duqu, die mit dem bekannten Computerwurm Stuxnet verwandt ist. Stuxnet war nach bisherigen Informationen entwickelt worden, um das iranische Atomprogramm zu sabotieren. Die jetzt entdeckte Software sei so aufwendig, dass ihre Entwicklung mehr als zehn Millionen Dollar gekostet haben dürfte, sagte Kaspersky.

Sie hat der Mitteilung zufolge vermutlich bis zu drei unbekannte Sicherheitslücken im Betriebssystem Windows ausgenutzt. Die letzte verbliebene Zero-Day-Lücke CVE-2015-2306 sei durch Microsoft am 9. Juni 2015 gepatcht worden. Nachdem die Attacke Domain-Administrator-Privilegien erhalten habe, habe sich die Malware im Netzwerk durch MSI-Dateien (Microsoft Software Installer) verteilt, die in der Regel von Systemadministratoren genutzt würden, um Software auf Windows-Rechnern per Fernzugriff einzurichten.

Auch andere Unternehmen angeblich betroffen

Laut Kaspersky wurde die Schadsoftware, die den Namen Duqu 2.0 bekam, auch an Verhandlungsorten bei den Atomgesprächen mit dem Iran entdeckt. Kaspersky-Konkurrent Symantec berichtete am Mittwoch, das Schadprogramm sei zudem bei einem europäischen Telekom-Unternehmen, einem Elektronikhersteller aus Südostasien sowie auf Computern in den USA, Großbritannien, Schweden und Hongkong entdeckt worden.


eye home zur Startseite
elgooG 17. Jun 2015

Würde ich nicht sagen. Meist ist es sogar umgekehrt, dass jemand der fast nichts verdient...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart-Feuerbach
  2. AVL List GmbH, Graz (Österreich)
  3. Engelhorn KGaA, Mannheim
  4. Schaeffler Technologies AG & Co. KG, Nürnberg


Anzeige
Top-Angebote
  1. (heute u. a. mit Sony TVs, Radios und Lautsprechern, 4K-Blu-rays und Sennheiser Kopfhörern)
  2. 499,99€ - Aktuell nicht bestellbar. Gelegentlich bezüglich Verfügbarkeit auf der Bestellseite...

Folgen Sie uns
       


  1. Joint Venture

    Microsoft und Facebook verlegen Seekabel mit 160 Terabit/s

  2. Remote Forensics

    BKA kann eigenen Staatstrojaner nicht einsetzen

  3. Datenbank

    Börsengang von MongoDB soll 100 Millionen US-Dollar bringen

  4. NH-L9a-AM4 und NH-L12S

    Noctua bringt Mini-ITX-Kühler für Ryzen

  5. Wegen Lieferproblemen

    Spekulationen über Aus für Opels Elektroauto Ampera-E

  6. Minix

    Fehler in Intel ME ermöglicht Codeausführung

  7. Oracle

    Java SE 9 und Java EE 8 gehen live

  8. Störerhaftung abgeschafft

    Bundesrat stimmt für WLAN-Gesetz mit Netzsperrenanspruch

  9. Streaming

    Update für Fire TV bringt Lupenfunktion

  10. Entlassungen

    HPE wird wohl die Mitarbeiterzahl dezimieren



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Lenovo Thinkstation P320 Tiny im Test: Viel Leistung in der Zigarrenschachtel
Lenovo Thinkstation P320 Tiny im Test
Viel Leistung in der Zigarrenschachtel
  1. Adware Lenovo zahlt Millionenstrafe wegen Superfish
  2. Lenovo Smartphone- und Servergeschäft sorgen für Verlust
  3. Lenovo Patent beschreibt selbstheilendes Smartphone-Display

Wireless Qi: Wie die Ikealampe das iPhone lädt
Wireless Qi
Wie die Ikealampe das iPhone lädt
  1. Noch kein Standard Proprietäre Airpower-Matte für mehrere Apple-Geräte

Apples iPhone X in der Analyse: Ein iPhone voller interessanter Herausforderungen
Apples iPhone X in der Analyse
Ein iPhone voller interessanter Herausforderungen
  1. Smartphone Apple könnte iPhone X verspätet ausliefern
  2. Face ID Apple erlaubt nur ein Gesicht pro iPhone X
  3. iPhone X Apples iPhone mit randlosem OLED-Display kostet 1.150 Euro

  1. Auch die Zulieferer bieten beeindruckendes

    webfraggle | 17:12

  2. Re: Entspricht dem Schenker Via 14

    limator | 17:11

  3. Re: Kennt wer die Fehler?

    Kleba | 17:11

  4. Wieder mal Schwachsinn

    tha_specializt | 17:09

  5. Re: Ob das eine Steigerung ist kann man nicht...

    thinksimple | 17:06


  1. 17:25

  2. 16:55

  3. 16:39

  4. 16:12

  5. 15:30

  6. 15:06

  7. 14:00

  8. 13:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel