Aktuelles, Branche - geschrieben von dp am Samstag, März 10, 2012 17:39 - noch keine Kommentare
Duqu-Trojaner: KASPERSKY-Mitarbeiter entdecken bislang unbekannte Programmiersprache
Selbe Urheber wie beim berühmt-berüchtigten „Stuxnet“-Wurm vermutet
[datensicherheit.de, 10.03.2012] Experten von KASPERSKY lab haben nach eigenen Angaben aufgedeckt, dass Teile des Trojaners „Duqu“ in einer bislang unbekannten Programmiersprache geschrieben wurden:
Der sehr anspruchsvolle Trojaner „Duqu“ stamme demnach aus derselben Programmierfeder, wie der berühmt-berüchtigte „Stuxnet“-Wurm. Seine Hauptaufgabe bestehe darin, eine „Backdoor“ in ein System einzuschleusen und damit den Diebstahl sensibler Informationen zu ermöglichen. „Duqu“ selbst sei erstmals im September 2011 entdeckt worden, jedoch habe KASPERSKY lab schon im August 2007 Malware registriert, von der mittlerweile bekannt sei, dass sie eindeutig mit diesem Trojaner in Zusammenhang stehe. „Duqu“ wird von den KASPERSKY-Mitarbeitern mit über einem Dutzend Vorfällen, zumeist mit Opfern im Iran, in Zusammenhang gebracht. Dabei hätten seine Hauptangriffsziele im Stehlen von Informationen zu industriellen Kontrollsystemen gelegen.
„Duqu“ habe die Fachwelt vor ein Rätsel gestellt, denn der Trojaner habe nach Infektion mit einer Opfermaschine mit seinem „Command-and-Control-Server“ (C&C) kommuniziert. Das für die Interaktion mit dem C&C verantwortliche Modul von „Duqu“ sei Teil seiner „Payload-DLL“. KASPERSKY-Experten hätten nun nach deren eingehender Analyse feststellen können, dass der Kommunikationsteil in einer bislang unbekannten Programmiersprache verfasst sei.
Sie nannten diesen unbekannten Bereich „Duqu Framework“. Im Gegensatz zu allen anderen Bereichen sei dieses nicht in „C++“ geschrieben und nicht mit „Visual C++ 2008“ von Microsoft kompiliert worden. Es sei möglich, dass die Autoren ein selbst erstelltes Framework genutzt hätten, um einen dazwischenliegenden „C“-Code zu generieren oder sie hätten eine komplett andere Programmiersprache genutzt. Die KASPERSKY-Analysen hätten jedenfalls ergeben, dass die Sprache objektorientiert sei und mit einem eigenen Set an relevanten Aktivitäten arbeite, die für Netzwerkapplikationen geeignet seien. Die Sprache im „Duqu-Framework“ sei hoch spezialisiert.
Gemessen an der Größe des „Duqu“-Projekts könnte ein komplett eigenes Team für die Erstellung des „Duqu-Frameworks“ sowie dedizierte Teams für die Erstellung der Treiber und der Systeminfektions-Exploits verantwortlich gewesen sein, sagt Alexander Gostev, „Chief Security Expert“ bei KASPERSKY lab. Die außergewöhnlich hohe Anpassung und Exklusivität, mit der die Programmiersprache entwickelt worden sei, deute darauf hin, dass man nicht nur die Spionageoperationen und die Interaktion mit den C&Cs für Außenstehende verschleiern, sondern auch andere interne „Duqu“-Teams habe separieren wollen, die für das Schreiben von zusätzlichen Teilen des Schadprogramms verantwortlich gewesen seien.
Laut Gostev zeigt die Erstellung einer eigenen Programmiersprache, wie professionell die Entwickler waren und dass signifikante finanzielle und labortechnische Ressourcen bei diesem Projekt zur Verfügung standen.
KASPERSKY lab ruft nun Programmierer dazu auf, die Security-Experten per E-Mail über stopduqu [at] kaspersky [dot] com zu informieren, wenn sie das Framework, Toolkit oder die Programmiersprache erkennen, mit denen ähnliche Code-Konstruktionen erstellt werden können.
Weitere Informationen zum Thema:
SECURELIST, 07.03.2012
Igor Soumenkov, Kaspersky Lab Expert / The Mystery of the Duqu Framework (Vollständige Version der Analyse des Duqu-Framworks)
Aktuelles, Experten, Studien - Nov 8, 2024 19:30 - noch keine Kommentare
it’s.BB e.V. lädt ein: Web-Seminar zu Risiken und Nebenwirkungen der Cyber Sicherheit im Unternehmen
weitere Beiträge in Experten
- KRITIS-Dachgesetz: Bitkom begrüßt Umsetzung und stellt Forderungen auf
- eco warnt vor Doppelregulierung und fordert abermals klare Zuständigkeiten beim KRITIS-Schutz
- US-Angemessenheitsbeschluss und Datenschutz bei Strafverfolgungsbehörden – EDSA bezieht Position
- Neue Grundsatzentscheidung zwingt Notare zur Ermittlung von Daten für das Nachlassverzeichnis
- Stärkung der Cyber-Sicherheit in Deutschland: eco fordert angesichts der NIS-2-Anhörung zügige Umsetzung
Aktuelles, Branche - Nov 8, 2024 19:20 - noch keine Kommentare
Sophos X-Ops analysieren Cyber-Attacken per Quishing
weitere Beiträge in Branche
- ONEKEY-Report warnt Industrie vor Einkauf von Cyber-Sicherheitslücken
- SweetSpecter hatte OpenAI im Visier
- Smart Cities: Aspekte der Sicherheit in urbaner Zukunft
- Fit für DORA in 3 Schritten: Birol Yildiz rät zum effektiven Incident Management zwecks Stärkung der Cyber-Sicherheit im Finanzsektor
- Trinity-Ransomware: Vorfall zeigt, warum starke Sicherheitskultur unverzichtbar auch für den Gesundheitssektor ist
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren