Aktuelles, Branche - geschrieben von dp am Samstag, März 10, 2012 17:39 - noch keine Kommentare
Duqu-Trojaner: KASPERSKY-Mitarbeiter entdecken bislang unbekannte Programmiersprache
Selbe Urheber wie beim berühmt-berüchtigten „Stuxnet“-Wurm vermutet
[datensicherheit.de, 10.03.2012] Experten von KASPERSKY lab haben nach eigenen Angaben aufgedeckt, dass Teile des Trojaners „Duqu“ in einer bislang unbekannten Programmiersprache geschrieben wurden:
Der sehr anspruchsvolle Trojaner „Duqu“ stamme demnach aus derselben Programmierfeder, wie der berühmt-berüchtigte „Stuxnet“-Wurm. Seine Hauptaufgabe bestehe darin, eine „Backdoor“ in ein System einzuschleusen und damit den Diebstahl sensibler Informationen zu ermöglichen. „Duqu“ selbst sei erstmals im September 2011 entdeckt worden, jedoch habe KASPERSKY lab schon im August 2007 Malware registriert, von der mittlerweile bekannt sei, dass sie eindeutig mit diesem Trojaner in Zusammenhang stehe. „Duqu“ wird von den KASPERSKY-Mitarbeitern mit über einem Dutzend Vorfällen, zumeist mit Opfern im Iran, in Zusammenhang gebracht. Dabei hätten seine Hauptangriffsziele im Stehlen von Informationen zu industriellen Kontrollsystemen gelegen.
„Duqu“ habe die Fachwelt vor ein Rätsel gestellt, denn der Trojaner habe nach Infektion mit einer Opfermaschine mit seinem „Command-and-Control-Server“ (C&C) kommuniziert. Das für die Interaktion mit dem C&C verantwortliche Modul von „Duqu“ sei Teil seiner „Payload-DLL“. KASPERSKY-Experten hätten nun nach deren eingehender Analyse feststellen können, dass der Kommunikationsteil in einer bislang unbekannten Programmiersprache verfasst sei.
Sie nannten diesen unbekannten Bereich „Duqu Framework“. Im Gegensatz zu allen anderen Bereichen sei dieses nicht in „C++“ geschrieben und nicht mit „Visual C++ 2008“ von Microsoft kompiliert worden. Es sei möglich, dass die Autoren ein selbst erstelltes Framework genutzt hätten, um einen dazwischenliegenden „C“-Code zu generieren oder sie hätten eine komplett andere Programmiersprache genutzt. Die KASPERSKY-Analysen hätten jedenfalls ergeben, dass die Sprache objektorientiert sei und mit einem eigenen Set an relevanten Aktivitäten arbeite, die für Netzwerkapplikationen geeignet seien. Die Sprache im „Duqu-Framework“ sei hoch spezialisiert.
Gemessen an der Größe des „Duqu“-Projekts könnte ein komplett eigenes Team für die Erstellung des „Duqu-Frameworks“ sowie dedizierte Teams für die Erstellung der Treiber und der Systeminfektions-Exploits verantwortlich gewesen sein, sagt Alexander Gostev, „Chief Security Expert“ bei KASPERSKY lab. Die außergewöhnlich hohe Anpassung und Exklusivität, mit der die Programmiersprache entwickelt worden sei, deute darauf hin, dass man nicht nur die Spionageoperationen und die Interaktion mit den C&Cs für Außenstehende verschleiern, sondern auch andere interne „Duqu“-Teams habe separieren wollen, die für das Schreiben von zusätzlichen Teilen des Schadprogramms verantwortlich gewesen seien.
Laut Gostev zeigt die Erstellung einer eigenen Programmiersprache, wie professionell die Entwickler waren und dass signifikante finanzielle und labortechnische Ressourcen bei diesem Projekt zur Verfügung standen.
KASPERSKY lab ruft nun Programmierer dazu auf, die Security-Experten per E-Mail über stopduqu [at] kaspersky [dot] com zu informieren, wenn sie das Framework, Toolkit oder die Programmiersprache erkennen, mit denen ähnliche Code-Konstruktionen erstellt werden können.
Weitere Informationen zum Thema:
SECURELIST, 07.03.2012
Igor Soumenkov, Kaspersky Lab Expert / The Mystery of the Duqu Framework (Vollständige Version der Analyse des Duqu-Framworks)
Aktuelles, Experten - Mai 31, 2023 13:27 - noch keine Kommentare
300.000 Euro Bußgeld gegen Bank: Computer sagte nein zu Kreditkartenantrag
weitere Beiträge in Experten
- 5 Jahre DSGVO: Professor Kelber zieht positives Fazit
- Cyber-Angriffe bewältigen: it’s.BB e.V lädt zur Awareness-Veranstaltung am 24. Mai 2023 ein
- Stand der Technik in der IT-Sicherheit: TeleTrusT-Handreichung in überarbeiteter Auflage erschienen
- Keine Scheu mehr vor der Öffentlichkeit: Cyber-Kriminalität, das Dark Net und Telegram
- EU Chips Act: Europäisches Parlament und Europäischer Rat erzielten vorläufige Einigung
Aktuelles, Branche - Mai 31, 2023 13:36 - noch keine Kommentare
5 Jahre DSGVO mahnen zum Verzicht auf löchrige Schutzschilde
weitere Beiträge in Branche
- Cyber-Betrug in Echtzeit: Kriminelles Umgehen der Multifaktor-Authentifizierung
- Android-Malware ab Werk nach Kontrollverlust in der Lieferkette
- Tipps zum Website-Check auf Datenschutzkonformität
- Avanan warnt vor Betrug per E-Mail mittels Missbrauch legitimer Dienste
- Lookout zu Textnachrichten: Die drei wichtigsten Warnhinweise
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren