Aktuelles, Branche - geschrieben von dp am Samstag, März 10, 2012 17:39 - noch keine Kommentare
Duqu-Trojaner: KASPERSKY-Mitarbeiter entdecken bislang unbekannte Programmiersprache
Selbe Urheber wie beim berühmt-berüchtigten „Stuxnet“-Wurm vermutet
[datensicherheit.de, 10.03.2012] Experten von KASPERSKY lab haben nach eigenen Angaben aufgedeckt, dass Teile des Trojaners „Duqu“ in einer bislang unbekannten Programmiersprache geschrieben wurden:
Der sehr anspruchsvolle Trojaner „Duqu“ stamme demnach aus derselben Programmierfeder, wie der berühmt-berüchtigte „Stuxnet“-Wurm. Seine Hauptaufgabe bestehe darin, eine „Backdoor“ in ein System einzuschleusen und damit den Diebstahl sensibler Informationen zu ermöglichen. „Duqu“ selbst sei erstmals im September 2011 entdeckt worden, jedoch habe KASPERSKY lab schon im August 2007 Malware registriert, von der mittlerweile bekannt sei, dass sie eindeutig mit diesem Trojaner in Zusammenhang stehe. „Duqu“ wird von den KASPERSKY-Mitarbeitern mit über einem Dutzend Vorfällen, zumeist mit Opfern im Iran, in Zusammenhang gebracht. Dabei hätten seine Hauptangriffsziele im Stehlen von Informationen zu industriellen Kontrollsystemen gelegen.
„Duqu“ habe die Fachwelt vor ein Rätsel gestellt, denn der Trojaner habe nach Infektion mit einer Opfermaschine mit seinem „Command-and-Control-Server“ (C&C) kommuniziert. Das für die Interaktion mit dem C&C verantwortliche Modul von „Duqu“ sei Teil seiner „Payload-DLL“. KASPERSKY-Experten hätten nun nach deren eingehender Analyse feststellen können, dass der Kommunikationsteil in einer bislang unbekannten Programmiersprache verfasst sei.
Sie nannten diesen unbekannten Bereich „Duqu Framework“. Im Gegensatz zu allen anderen Bereichen sei dieses nicht in „C++“ geschrieben und nicht mit „Visual C++ 2008“ von Microsoft kompiliert worden. Es sei möglich, dass die Autoren ein selbst erstelltes Framework genutzt hätten, um einen dazwischenliegenden „C“-Code zu generieren oder sie hätten eine komplett andere Programmiersprache genutzt. Die KASPERSKY-Analysen hätten jedenfalls ergeben, dass die Sprache objektorientiert sei und mit einem eigenen Set an relevanten Aktivitäten arbeite, die für Netzwerkapplikationen geeignet seien. Die Sprache im „Duqu-Framework“ sei hoch spezialisiert.
Gemessen an der Größe des „Duqu“-Projekts könnte ein komplett eigenes Team für die Erstellung des „Duqu-Frameworks“ sowie dedizierte Teams für die Erstellung der Treiber und der Systeminfektions-Exploits verantwortlich gewesen sein, sagt Alexander Gostev, „Chief Security Expert“ bei KASPERSKY lab. Die außergewöhnlich hohe Anpassung und Exklusivität, mit der die Programmiersprache entwickelt worden sei, deute darauf hin, dass man nicht nur die Spionageoperationen und die Interaktion mit den C&Cs für Außenstehende verschleiern, sondern auch andere interne „Duqu“-Teams habe separieren wollen, die für das Schreiben von zusätzlichen Teilen des Schadprogramms verantwortlich gewesen seien.
Laut Gostev zeigt die Erstellung einer eigenen Programmiersprache, wie professionell die Entwickler waren und dass signifikante finanzielle und labortechnische Ressourcen bei diesem Projekt zur Verfügung standen.
KASPERSKY lab ruft nun Programmierer dazu auf, die Security-Experten per E-Mail über stopduqu [at] kaspersky [dot] com zu informieren, wenn sie das Framework, Toolkit oder die Programmiersprache erkennen, mit denen ähnliche Code-Konstruktionen erstellt werden können.
Weitere Informationen zum Thema:
SECURELIST, 07.03.2012
Igor Soumenkov, Kaspersky Lab Expert / The Mystery of the Duqu Framework (Vollständige Version der Analyse des Duqu-Framworks)
Aktuelles, Experten - Sep 29, 2023 21:30 - noch keine Kommentare
LÜKEX 23: Bund und Länder hatten gemeinsam fiktiven Hacker-Angriff zu bewältigen
weitere Beiträge in Experten
- Zyklus-Apps: Verbraucherzentrale moniert Datenschutz-Defizite
- LÜKEX 23: Simulierter Angriff auf das Regierungshandeln
- Sofortiger Stopp der Chat-Kontrolle: Digitalcourage unterstreicht Forderung
- Internet-Verfügbarkeit: Noch 3 Milliarden Menschen weltweit ohne Zugang
- Registermodernisierung: Von der Steuer-Identifikationsnummer zur Bund ID
Aktuelles, Branche - Sep 28, 2023 18:25 - noch keine Kommentare
Zanubis: Banking-Trojaner tarnt sich laut Kaspersky-Warnung als legitime App
weitere Beiträge in Branche
- Augen auf vor der Installation: Sicherheitsrisiko Browser-Erweiterung
- Handbuch für CISOs: Check Point gibt 8 Tipps zur Stärkung der Cyber-Resilienz
- Web-Anwendungen laut CyCognito-Studie großes Risiko für Unternehmen
- Digitalisierung und Vernetzung: IT-Security als Wegbereiter
- Gefahren für Politik und Demokratie: Optimierung von Deepfakes mittels KI
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren