[datensicherheit.de, 11.06.2012] KASPERSKY lab hat nach eigenen Angaben im Zuge einer detaillierten Analyse eine Verbindung der „Flame“- und „Stuxnet“-Entwickler nachweisen können. Das Modul „Resource 207“ aus der „Stuxnet“-Version 2009 sei demnach ein Plugin von „Flame“.
Die Entdeckung des Schadprogramms „Flame“ im Mai 2012 habe die derzeit gefährlichste Cyberwaffe aufgedeckt. Zunächst habe wenig auf eine Verbindung zwischen den Entwicklerteams von „Flame“ und „Stuxnet“/“Duqu“ hingewiesen. Auch der Entwicklungsansatz von „Flame“ und „Stuxnet“ beziehungsweise „Duqu“ sei ein anderer gewesen. Daher sei man davon ausgegangen, dass die beiden Projekte von unterschiedlichen Teams durchgeführt worden seien. Allerdings habe nun eine von KASPERSKY-Experten durchgeführte detaillierte Analyse ergeben, dass die beiden Teams tatsächlich – zumindest in der frühen Entwicklungsphase – kooperiert hätten.

Weitere Informationen zum Thema:

SECURELIST, 11.06.2012
Back to Stuxnet: the missing link

datensicherheit.de, 29.05.2012
Flame: Cyberspionage 2.0 mit komplexem Schadprogramm

KASPERSKY lab, 29.05.2012
Cyberspionage 2.0 in Flammen: Kaspersky Lab und ITU-Forschung entdecken mit Flame ein neues, hoch entwickeltes Schadprogramm

SECURELIST, 28.05.2012
The Flame: Questions and Answers

SECURELIST, 28.12.2011
Stuxnet/Duqu: The Evolution of Drivers

[datensicherheit.de, 22.12.2011] Das Jahr 2011 habe laut KASPERSKY lab ganz im Zeichen von „Stuxnet“ gestanden – und auch für das neue Jahr prognostizieren dessen Experten weitere Bedrohungen für Regierungen und Großunternehmen auf der ganzen Welt:
So werde nicht nur die Anzahl der gezielten Angriffe auf staatliche Institutionen und große Unternehmen steigen, es sei auch wahrscheinlich, dass sich die Bandbreite der Opfer merklich ausweite. Seien bis dato vor allem Unternehmen und staatliche Organisationen im Fokus, die mit Waffenfertigung, Finanztransaktionen oder High-Tech- sowie wissenschaftlicher Forschung im Zusammenhang stehen, erwarteten sie im nächsten Jahr eine Ausweitung der Angriffsziele auf Unternehmen aus der Rohstoffgewinnung, Energie-, Verkehrs-, Lebensmittel- und Pharmaindustrie sowie Internet-Services und IT-Sicherheitsunternehmen, warnt Alexander Gostev, „Chief Security Expert“ bei KASPERSKY lab und Autor des Berichts „Cyberthreat-Prognose für 2012“.
Die Weiterentwicklungen innerhalb der IT-Sicherheitsbranche hinsichtlich der Abwehr gezielter Angriffe sowie das gewachsene Bewusstsein der Öffentlichkeit zwinge die Cyber-Kriminellen indes, neue Instrumente zu entwickeln. Die herkömmliche Methode der Angriffe via E-Mail und das damit verbundene Ausnutzen von Sicherheitslücken werde zunehmend weniger effektiv werden, Attacken beim Einsatz von Browsern würden hingegen an Popularität gewinnen.
2012 würden sogenannte „Hacktivisten“-Angriffe auf staatliche Organisationen und Unternehmen nach wie vor auf der Agenda stehen und einen vorwiegend politischen Hintergrund haben. Zudem könnte „Hacktivismus“ als Ablenkungsmanöver genutzt werden, um andere Arten von Angriffen zu verbergen. Dennoch geht KASPERSKY lab davon aus, dass hochentwickelte Schädlinge wie „Stuxnet“ und „Duqu“, die von staatlicher Seite mitentwickelt werden, einzigartige Phänomene blieben, die abhängig von den Beziehungen verfeindeter Staaten auftauchen würden.
Die Anzahl der Bedrohungen für mobile Endgeräte werde naturgemäß nach dem Gesetz von Angebot und Nachfrage weiterhin steigen, wobei Googles „Android“ das primäre Angriffsziel bleiben werde. Ebenfalls häufiger würden auch mobile Schädlinge auftauchen, die Sicherheitslücken ausnutzen – für 2012 werden ein erstmaliger mobiler Drive-by-Angriff und mobile Botnetze prognostiziert.

Weitere Informationen zum Thema:

KASPERSKY lab
Cyberthreat forecast for 2012

[datensicherheit.de, 03.11.2011] Die Angreifer hinter „Duqu“ nutzten eine bisher unbekannte Zero-Day-Schwachstelle in „Microsoft Word“, um Rechner in den Zielunternehmen zu infizieren so die Erkenntnisse von Symantec zur bislang unbekannten Installationsroutine:
„Duqu“ breite sich im infizierten Netzwerk aus – er kommuniziere mit verseuchten Rechnern über Peer-to-Peer-Methoden, selbst wenn die Systeme nicht mit dem Internet verbunden seien. Außerdem hätten die Symantec-Experten eine „Duqu“-Variante entdeckt, die über einen zweiten „Command- & Control-Server“ (C&C) kommuniziere.

Weitere Informationen zum Thema:

Symantec, 01.11.2011
Duqu: Status Updates Including Installer with Zero-Day Exploit Found

Symantec, 01.11.2011
W32.Duqu / The precursor to the next Stuxnet / Version 1.3 (November 1, 2011)

[datensicherheit.de, 22.10.2011] Der Virenschutz-Experte Bitdefender stellt ab sofort online ein Removal-Tool für die aggressive Rootkit-Malware „Duqu“ zum kostenlosen Download bereit:
Bei dem Schädling handele es sich um eine aktuell sehr verbreitete Schadsoftware, die die Technologie des militärisch genutzten „Stuxnet“-Virus mit einem erweiterten Keylogger und einer Backdoor-Applikation verbinde.
„Stuxnet“ hatte im September 2010 für Aufsehen gesorgt, als er offenbar genutzt wurde, um das iranische Atomprogramm auszuspionieren. Wie sein hochgefährlicher „Vater“ bediene sich „Rootkit.Duqu.A“ eines gestohlenen, digitalen Zertifikats, das eigentlich nicht mehr gültig sei. Dieses Zertifikat ermögliche ihm, sich selbst auf „Windows“-basierenden 32- und 64-bit-Versionen der Betriebssysteme von „Windows XP“ bis hin zu „Windows 7“ zu installieren. „Duqu“ verbleibe 36 Tage auf dem Computer und sammele in dieser Zeit alle möglichen Informationen, die über die Tastatur eingegeben wurden – dies umfasse auch Passwörter, E-Mails, IM-Konversationen und vieles mehr.
Nach dieser Phase der Überwachung entferne sich der Virus samt den Keylogger-Komponenten selbstständig vom System. Bis dahin ermögliche es die spezielle Rootkit-Technologie dem Schadcode, sich sowohl vor den Anwendern als auch vor dem Abwehrmechanismus des Betriebssystems sowie einfachen Virenschutzlösungen zu verstecken.
Rootkit-Viren seien sehr schwer zu erkennen, da sie es schafften, das Betriebssystem zu kontaminieren, bevor es vollständig geladen ist. Vom manuellen Entfernen werde dringend abgeraten, so Bitdefender in einer aktuellen Mitteilung.

Weitere Informationen zum Thema:

Bitdefender
Laden sie den Rootkit.Duqu.A removal tool herunter

[datensicherheit.de, 21.10.2011] Symantec hat nach eigenen Angaben mit „Duqu“ einen neuen Schadcode entdeckt und untersucht, der dem berüchtigten Trojaner Stuxnet stark ähneln soll:
Auffällig daran sei, dass die Autoren des neuen Schadprogramms Zugriff auf den Quellcode von „Stuxnet“ gehabt hätten – und nicht etwa nur auf dessen Binärdateien. Es sei laut Symantec möglich, dass auch „Duqu“ von den „Stuxnet“-Entwicklern programmiert worden sei.
Der Zweck von „Duqu“ sei es, Daten und Systeme auszuspähen, unter anderem von Herstellern industrieller Kontrollsysteme. Die Angreifer hätten dabei gezielt nach Informationen wie Konstruktionsplänen gesucht, mit denen sie einen künftigen Angriff gegen industrielle Kontrollanlagen vorbereiten könnten. Daher dürfe „Duqu“ als Vorläufer eines neuen „Stuxnet“ bezeichnet werden.

Weitere Informationen zum Thema:

Symantec, Official Blog, 19.10.2011
W32.Duqu: The Precursor to the Next Stuxnet