Search Icon
Elektroniknet Logo
Search Icon
Startseite > Automation > Industrielle Datensicherheit nach Stuxnet - ein Update

Industrienetzwerke

Industrielle Datensicherheit nach Stuxnet - ein Update

11. Juli 2012, 11:45 Uhr | Torsten Rössel, Innominate Security Technologies
Diesen Artikel anhören
Fortsetzung des Artikels von Teil 1

Duqu und das »Tilded«-Framework

Malware aus dem Baukasten
Malware aus dem Baukasten: Die von Kaspersky Lab entdeckte Evolutionsgeschichte der Treiber aus dem »Tilded«-Framework belegt die Verwandtschaft von Stuxnet und Duqu.
© Kaspersky Lab, www.securelist.com

Analysen an der Universität Budapest (CrySyS Laboratory of Cryptography and System Security) und in den Laboren von Symantec und F-Secure ergaben große Ähnlichkeiten im Code von Stuxnet und Duqu. Allerdings enthält Duqu keinerlei Schadcode mit direktem Bezug zu industriellen Steuerungssystemen. Der Trojaner scheint einem ganz anderen Zweck zu dienen, nämlich der Spionage, dies aber möglicherweise zur Vorbereitung eines weiteren Stuxnet-artigen Angriffs. Duqu verbreitet sich - anders als Stuxnet - auch nicht aktiv selber, sondern wurde offenbar sehr gezielt, besonders durch E-Mail-Anhänge mit infizierten Office-Dokumenten, in eine beschränkte Anzahl von Organisationen eingeschleust. Wiederum wurde dabei eine noch unveröffentlichte Schwachstelle im Kernel von Windows als Einfallstor genutzt und ein mit gestohlenem Schlüssel signierter Treiber verwendet. Der Trojaner suchte Kontakt zu Command-&-Control-Servern in mehreren Ländern. Er konnte über diese wohl auch instruiert werden, sich über lokale Netzlaufwerke auf weitere Systeme zu verbreiten, die dann peer-to-peer den ursprünglichen Infektionsherd wie einen Proxy als Rückkanal nutzen.

Infektionen mit Duqu wurden in mindestens acht Ländern entdeckt, unter anderem bei Herstellern und Betreibern industrieller Steuerungssysteme. Die dabei gefundenen Varianten wurden auf eine Entstehungszeit zwischen November 2010 und Oktober 2011 datiert. Symantec kam zu dem Schluss, dass die Autoren von Duqu dieselben waren wie die von Stuxnet oder jedenfalls Zugang zum selben Quellcode gehabt haben müssen.

Die aktuellsten Analysen des Kaspersky Lab sprechen für einen noch umfassenderen Zusammenhang zwischen den beiden Schädlingen. Demnach entspringen beide mit ziemlicher Sicherheit der gleichen als Baukasten genutzten Code-Basis. Wegen der Vorliebe ihrer unbekannten Schöpfer für Dateinamen, die mit »~d« beginnen, taufte Kaspersky dieses Framework auf den Namen »Tilded«. Neben Stuxnet und Duqu soll das Framework Grundlage von mindestens drei weiteren identifizierten Schadprogrammen sein. Seine Entwicklungsgeschichte reicht vermutlich bis Ende 2007 zurück und hält mit einer Phase besonders signifikanten Fortschritts im zweiten Halbjahr 2010 bis heute an, was weitere Abkömmlinge erwarten lässt.











  1. Industrielle Datensicherheit nach Stuxnet - ein Update
  2. Duqu und das »Tilded«-Framework
  3. »Malware-for-Dummies«-Baukästen
  4. Wirksame Vorbeugungsmaßnahmen

Lesen Sie mehr zum Thema

Innominate Security Technologies AG

Das könnte Sie auch interessieren

IPC-Security durch Virtualisierung

Cyber-Sicherheit für die Automatisierung

Schadsoftware

Flame vor der Selbstzerstörung

Schadsoftware

Trojaner Flame gefährlicher als Stuxnet

Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Innominate Security Technologies AG

CEO-Roundtable productronica 2015

Security für Industrie 4.0 eröffnet neue Geschäftsmöglichkeiten

Innominate und Wibu-Systems

Netzwerksicherheit und Software-Schutz in Einklang bringen

Livehacking

So anfällig sind Industriesysteme

Security 4.0

Industrie 4.0 braucht Sicherheit

Windows XP in der Automatisierung

»Sicherheit ab April 2014 gefährdet«