Stuxnet-Nachfolger Duqu attackiert Objekte im Iran und Sudan

Komplexes Spionage-Programm stiehlt laut KASPERSKY lab zielgerichtet sensible Informationen

[datensicherheit.de, 27.10.2011] KASPERSKY lab hat nach eigenen Angaben jüngst zielgerichtete Attacken des „Duqu“-Wurms im Iran und Sudan identifiziert. Das Schadprogramm ähnele in einigen Merkmalen dem gefährlichen „Stuxnet“-Wurm, der 2010 Industrieanlagen im Iran im Visier hatte. Welche Ziele genau die Cyber-Kriminellen bei „Duqu“ im Blick hätten, sei noch unbekannt. Das gefährliche Schadprogramm sei ein universelles Werkzeug, um gezielte Attacken durchzuführen. „Duqu“ könne je nach Einsatz modifiziert werden. Die ersten KASPERSKY-Analysen des Wurms hätten die folgende Erkenntnisse ergeben:
In den bisher entdeckten „Duqu“-Modifikationen seien die verwendeten Treiber verändert worden. Die manipulierten Treiber verwendeten beispielsweise eine gefälschte Signatur oder sie seien nicht signiert. Zudem sei deutlich geworden, dass weitere Komponenten von „Duqu“ wohl existierten, die aber bisher nicht vorlägen und in ihrer genauen Funktion noch unbekannt seien. Alles in allem könne der Wurm für ein vordefiniertes Ziel modifiziert werden.
Sie wüssten noch nicht, wie sich die Computer mit dem Trojaner infiziert hätten, so Tillmann Werner, „Senior Virus Analyst“ bei Kaspersky Lab. Wenn „Duqu“ aber erst einmal in den Computer eingeschleust sei, modifiziere er die Sicherheitsprogramme so, dass er nicht mehr erkannt werde und unbemerkt bleibe – die Qualität des Schadprogramms sei verblüffend hoch.
„Duqu“-Infektionen seien bisher nur wenige Male entdeckt worden, was ihn zum Beispiel von „Stuxnet“ unterscheide. Nachdem die ersten Samples des Schadprogramms aufgetaucht sind, habe KASPERSKY lab über sein Cloud-basiertes „Kaspersky Security Network“ vier neue Infektionen feststellen können – eine im Sudan und drei weitere im Iran. Bei den vier oben genannten „Duqu“-Fällen sei für die Infizierung jeweils eine speziell modifizierte Version des Treibers verwendet worden. Bei einem der Vorfälle im Iran habe KASPERSKY lab zwei versuchte Netzwerk-Attacken feststellen können, welche auf die Schwachstelle MS08-067 abzielten. Diese Schwachstelle sei unter anderen von „Stuxnet“ und von „Kido“ missbraucht worden. Die beiden Netzwerk-Attacken sollen am 4. und am 16. Oktober 2011 stattgefunden haben. Beide seien von derselben IP-Adresse ausgeführt worden, die offiziell einem US-Internet-Provider gehöre. Hätte es nur eine Netzwerk-Attacke gegeben, hätte man diese als eine typische „Kido“-Aktivität klassifizieren können. Dass es in diesem Fall gleich zwei aufeinander folgende Attacken gegeben habe, weise aber auf eine explizite Attacke auf ein iranisches Ziel hin. Es sei aber möglich, dass bei diesem Angriff noch weitere Schwachstellen ausgenutzt worden seien.
Obwohl sich die von „Duqu“ attackierten Ziele im Iran befänden, gebe es bisher keine Beweise, dass es das Schadprogramm auf iranische Industrie- und Atomanlagen abgesehen habe, so Alexander Gostev, „Chief Security Expert“ bei KASPERSKY lab. Daher könnten sie nicht bestätigen, dass „Duqu“ dasselbe Ziel wie „Stuxnet“ habe. Dennoch seien die „Duqu“-Infektionen einzigartig. Deshalb gingen sie davonaus, dass „Duqu“ für zielgerichtete und maßgeschneiderte Attacken eingesetzt werde.
Bei „Duqu“ deute Vieles darauf hin, dass die Angreifer es auf den Diebstahl von Informationen aus Unternehmen oder politischen Organisationen abgesehen hätten, denn sie hätten bei „Duqu“ keine destruktiven Eigenschaften entdeckt. „Duqu“ sei noch komplexer als „Stuxnet“. Sie nähmen zudem an, dass er aus derselben Quelle wie „Stuxnet“ stamme. Wer auch immer so ein Schadprogramm entwickelt, verfüge über viel Geld, Zeit und Wissen…

Weitere Informationen zum Thema:

SECURELIST, 25.10.2011
Alexander Gostev / The Mystery of Duqu: Part Two

SECURELIST, 20.10.2011
Alexander Gostev / The Mystery of Duqu: Part One