Aktuelles, Branche - geschrieben von dp am Samstag, März 10, 2012 17:39 - noch keine Kommentare
Duqu-Trojaner: KASPERSKY-Mitarbeiter entdecken bislang unbekannte Programmiersprache
Selbe Urheber wie beim berühmt-berüchtigten „Stuxnet“-Wurm vermutet
[datensicherheit.de, 10.03.2012] Experten von KASPERSKY lab haben nach eigenen Angaben aufgedeckt, dass Teile des Trojaners „Duqu“ in einer bislang unbekannten Programmiersprache geschrieben wurden:
Der sehr anspruchsvolle Trojaner „Duqu“ stamme demnach aus derselben Programmierfeder, wie der berühmt-berüchtigte „Stuxnet“-Wurm. Seine Hauptaufgabe bestehe darin, eine „Backdoor“ in ein System einzuschleusen und damit den Diebstahl sensibler Informationen zu ermöglichen. „Duqu“ selbst sei erstmals im September 2011 entdeckt worden, jedoch habe KASPERSKY lab schon im August 2007 Malware registriert, von der mittlerweile bekannt sei, dass sie eindeutig mit diesem Trojaner in Zusammenhang stehe. „Duqu“ wird von den KASPERSKY-Mitarbeitern mit über einem Dutzend Vorfällen, zumeist mit Opfern im Iran, in Zusammenhang gebracht. Dabei hätten seine Hauptangriffsziele im Stehlen von Informationen zu industriellen Kontrollsystemen gelegen.
„Duqu“ habe die Fachwelt vor ein Rätsel gestellt, denn der Trojaner habe nach Infektion mit einer Opfermaschine mit seinem „Command-and-Control-Server“ (C&C) kommuniziert. Das für die Interaktion mit dem C&C verantwortliche Modul von „Duqu“ sei Teil seiner „Payload-DLL“. KASPERSKY-Experten hätten nun nach deren eingehender Analyse feststellen können, dass der Kommunikationsteil in einer bislang unbekannten Programmiersprache verfasst sei.
Sie nannten diesen unbekannten Bereich „Duqu Framework“. Im Gegensatz zu allen anderen Bereichen sei dieses nicht in „C++“ geschrieben und nicht mit „Visual C++ 2008“ von Microsoft kompiliert worden. Es sei möglich, dass die Autoren ein selbst erstelltes Framework genutzt hätten, um einen dazwischenliegenden „C“-Code zu generieren oder sie hätten eine komplett andere Programmiersprache genutzt. Die KASPERSKY-Analysen hätten jedenfalls ergeben, dass die Sprache objektorientiert sei und mit einem eigenen Set an relevanten Aktivitäten arbeite, die für Netzwerkapplikationen geeignet seien. Die Sprache im „Duqu-Framework“ sei hoch spezialisiert.
Gemessen an der Größe des „Duqu“-Projekts könnte ein komplett eigenes Team für die Erstellung des „Duqu-Frameworks“ sowie dedizierte Teams für die Erstellung der Treiber und der Systeminfektions-Exploits verantwortlich gewesen sein, sagt Alexander Gostev, „Chief Security Expert“ bei KASPERSKY lab. Die außergewöhnlich hohe Anpassung und Exklusivität, mit der die Programmiersprache entwickelt worden sei, deute darauf hin, dass man nicht nur die Spionageoperationen und die Interaktion mit den C&Cs für Außenstehende verschleiern, sondern auch andere interne „Duqu“-Teams habe separieren wollen, die für das Schreiben von zusätzlichen Teilen des Schadprogramms verantwortlich gewesen seien.
Laut Gostev zeigt die Erstellung einer eigenen Programmiersprache, wie professionell die Entwickler waren und dass signifikante finanzielle und labortechnische Ressourcen bei diesem Projekt zur Verfügung standen.
KASPERSKY lab ruft nun Programmierer dazu auf, die Security-Experten per E-Mail über stopduqu [at] kaspersky [dot] com zu informieren, wenn sie das Framework, Toolkit oder die Programmiersprache erkennen, mit denen ähnliche Code-Konstruktionen erstellt werden können.
Weitere Informationen zum Thema:
SECURELIST, 07.03.2012
Igor Soumenkov, Kaspersky Lab Expert / The Mystery of the Duqu Framework (Vollständige Version der Analyse des Duqu-Framworks)
Aktuelles, Experten - Apr 26, 2024 20:46 - noch keine Kommentare
eco-Stellungnahme zum Verschlüsselungsverbot – praktisch nicht umsetzbar und Verstoß gegen Grundrechte
weitere Beiträge in Experten
- Schleswig-Holstein: Datenschutzbericht 2023 vorgestellt
- Bundesdatenschutzgesetz: DSK-Stellungnahme zum Gesetzentwurf zur Änderung veröffentlicht
- Digitalministerkonferenz: Digitalverband Bitkom benennt Herausforderungen an die neue Institution
- Digitalministerkonferenz sollte Schnellboot der Digitalisierung in Deutschland sein
- World Cybercrime Index: Identifizierung globaler Brennpunkte der Cyber-Kriminalität
Aktuelles, Branche - Apr 26, 2024 20:54 - noch keine Kommentare
Soziale Medien: Booster oder Cyber-Achillesferse für Politiker
weitere Beiträge in Branche
- DORA ante portas: Verbindliche Richtlinie für das Risikomanagement im Finanzsektor rückt näher
- Generative KI: Jüngste Erkenntnisse von Check Point Research zur Gefahr für die Wahlen 2024
- DDoS-Attacken: Check Point warnt vor neue Wellen
- Finanzkriminalität: BioCatch publiziert ersten Bericht über digitalen Betrug mittels KI
- Zscaler-Report 2024: 60 Prozent Anstieg bei KI-gesteuerten Phishing-Angriffen
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren