Original-URL des Artikels: https://www.golem.de/1110/87154.html    Veröffentlicht: 19.10.2011 13:00    Kurz-URL: https://glm.io/87154

W32.Duqu

Stuxnet-Variante spioniert Forschungseinrichtungen aus

Die Virenforscher von Symantec haben einen auf Stuxnet basierenden Trojaner gefunden. Das W32.Duqu genannte Programm greift zwar keine Industrieanlagen an, ist jedoch eine clever gemachte Malware, die für das Stehlen von Daten gebaut wurde.

Der Analyse von Symantec zufolge basiert W32.Duqu auf Stuxnet - schon diese Tatsache ist alarmierend, weil damit belegt ist, dass an dem Quelltext des sehr effektiven Schädlings weiter gearbeitet wurde. Ob es sich bei den Programmierern von Duqu um Regierungsbehörden handeln könnte, wie das bei Stuxnet vermutet wird, sagt Symantec nicht. Das Security-Unternehmen ist sich aber sicher, dass die Entwickler von Duqu Zugriff auf den Quelltext von Stuxnet hatten, nicht nur auf dessen ausführbare Dateien.

Anders als Stuxnet, der über den Umweg durch ein Windows-System Industrieanlagen zur Maschinensteuerung befiel, greift Duqu nur Windows-Rechner an. Dort verhält er sich wie ein klassischer Botnet-Trojaner: Dateien werden vom kompromittierten PC verschlüsselt an einen Command-&-Control-Server verschickt, zusätzlich wird andere Malware installiert, die Tastatureingaben abfangen kann. Damit lassen sich beispielsweise Passwörter mitschneiden, was für einen anderen Angriff auf eine Organisation genutzt werden kann. Das gesamte Paket des Schädlings ist in allen bisher bekannten Varianten unter 500 KByte groß.

Duqu scheint dabei aber nicht für den Einsatz in einem Botnet konzipiert zu sein, denn das Programm verbreitet sich nicht selbst weiter und deinstalliert sich nach 36 Tagen selbst. Botnet-Malware dagegen versucht meist, so viele Rechner wie möglich zu befallen und dort so lange wie möglich zu laufen. Nur ein großes Botnet ist für Cyberkriminelle auch profitabel, wenn es etwa für Spamversand vermietet wird.

Wie auch bei Stuxnet sind die Methoden zur Tarnung und der Infiltration des Rechners bei Duqu technisch ausgefeilt, was sich bei der Malware von Kriminellen nur selten findet. So sind beispielsweise die gestohlenen Daten in Dateien verpackt, die wie JPEG-Bilder aussehen - ein Rechner, der Fotos per Netz verschickt, fällt auch durch seinen Netzwerkverkehr kaum auf.

Warnung von unbekanntem Security-Labor

Zudem installiert das Paket unter anderem mit einem gestohlenen digitalen Zertifikat einen Treiber, um auf Systemebene andere Teile nachladen zu können. Es handelt sich ausgerechnet um ein von Symantec an einen seiner Kunden weitergegebenes Zertifikat, das aber umgehend widerrufen wurde.

Dem Unternehmen zufolge wurden die eigenen Root-Zertifikate und deren Aussteller, die CAs, von dem Vorfall nicht betroffen. Rechner, welche das am 14. Oktober 2011 widerrufene Zertifikat auch prüfen, sollten von Duqu damit nicht mehr befallen werden können. Das ist jedoch kein Grund zur Entwarnung, denn basierend auf den Kompilierungsdaten von zwei Versionen, die Symantec gefunden hat, könnte Duqu schon seit Dezember 2010 eingesetzt worden sein. Der Schaden könnte also schon angerichtet sein.

Wie der Schädling auf die infizierten Rechner gelangt, hat Symantec noch nicht herausgefunden. Der originale Stuxnet gelangte über USB-Sticks auf Windows-PCs, nutzte vier unbekannte Windows-Lücken und suchte dort nach Anlagen zur Steuerung von Scada-Industrieanlagen von Siemens. Auch wenn Duqu diese Steuerungen nicht angreift, gibt es dennoch eine Verbindung: Symantec zufolge soll die Malware unter anderem bei Organisationen gefunden worden sein, die "in Verbindung mit der Herstellung von industriellen Anlagensteuerungen stehen". Alle bisher bekannten Infektionen fanden in Europa statt, Ziel sollen vor allem akademische Einrichtungen gewesen sein.

Symantecs Untersuchungen basieren auf Vorarbeit von einem namentlich nicht genannten Security-Labor, das Duqu vor dem Hinweis an das Antivir-Unternehmen analysiert hat. Auch aus der umfassenden technischen Analyse (PDF) der beiden beteiligten Security-Organisationen geht aber nicht hervor, welche Daten Duqu stehlen sollte. Symantec hat zwar Updates der Informationen versprochen, bisher liegen aber die Autoren und der genaue Zweck des Stuxnet-Nachfolgers noch im Dunkeln.  (nie)


Verwandte Artikel:
Security: Malware mit legitimen Zertifikaten weit verbreitet   
(07.11.2017, https://glm.io/130997 )
US-Armee: Trump ordnet Denial-of-Service-Angriffe gegen Nordkorea an   
(02.10.2017, https://glm.io/130392 )
Zertifikate: Trustico verwundbar für Root-Code-Injection   
(01.03.2018, https://glm.io/133089 )
Skype-Wurm ändert Online-Status   
(17.04.2007, https://glm.io/51721 )
Incident Response: Social Engineering funktioniert als Angriffsvektor weiterhin   
(25.02.2018, https://glm.io/132972 )

© 1997–2019 Golem.de, https://www.golem.de/