Stuxnet-Nachfolger Duqu - Universelles Werkzeug für gezielte Attacken

Nach Symantec warnt nun auch Kaspersky Lab vor dem Stuxnet-Nachfolger Duqu. Erste Analysen ergaben, dass bei den bisher entdeckten Duqu-Modifikationen die verwendeten Treiber verändert wurden. Das komplexe Spionage-Programm stiehlt zielgerichtet sensible Informationen von Unternehmen und politischen Organisationen.

Welche Ziele die Cyber-Kriminellen mit dem Stuxnet-Derivat Duqu verfolgen, das bleibt auch für die Kaspersky-Experten ein Rätsel. Das Schadprogramm ist ein universelles Werkzeug, das je nach Einsatz modifiziert werden kann. Nach ersten Analysen ergeben sich folgende Erkenntnisse:

  • Die Treiber werden verändert.
  • Die Treiber verwenden z.B. eine gefälschte Signatur oder sind nicht signiert.
  • Es gibt noch weitere Komponenten von Duqu, die aber bisher nicht vorliegen und deren genaue Funktion noch unbekannt ist.
  • Der Wurm kann für ein vordefiniertes Ziel modifiziert werden.

»Wir wissen noch nicht, wie sich die Computer mit dem Trojaner infiziert haben«, so Tillman Werner, Senior Viros Analyst bei Kaspersky Lab. »Wenn Duqu aber erst einmal in den Computer eingeschleust ist, modifiziert er die Sicherheitsprogramme so, dass er nicht mehr erkannt wird und unbemerkt bleibt. Die Qualität des Schadprogramms ist verblüffend hoch.«

Amerikanische IP-Adresse als Ursprung?

Bisher wurden nur wenige Duqu-Infektionen entdeckt; das unterscheidet ihn von Stuxnet. Nachdem erste Versionen von Duqu aufgetaucht sind, konnte Kaspersky Lab über sein Cloud-basierte Security Network vier neue Infektionen feststellen: Eine im Sudan und drei weitere im Iran. Bei den genannten Fällen wurde für die Infizierung jeweils speziell modifiziert Versionen des Treibers verwendet. Im Iran konnten bei einem der Vorfälle zwei versuchte Netzwerk-Attacken feststellen, welche auf die Schwachstelle MS08-067 abzielten, die u.a. bereits von Stuxnet und Kido missbraucht wurden. Beide Netzwerk-Attacken fanden im Oktober 2011 statt und wurden von derselben IP-Adress ausgeführt, die offiziell einem US-Internet-Provider gehört. Hätte es nur eine Netzwerk-Attacke gegeben, wäre der Angriff als typisch für das Schadprogramm Kido klassifiziert worden. Laut Kaspersky weist alles auf einen expliziten Angriff auf ein iranisches Ziel hin, da es in diesem Fall gleich zwei aufeinander folgende Angriffe gab. Es ist jedoch möglich, dass bei diesem Angriff noch weitere Schwachstellen ausgenutzt wurden.

»Obwohl sich die von Duqu attackierten Ziele im Iran befinden, gibt es bisher keine Beweise, dass es das Schadprogramm auf iranische Industrie- und Atomanlagen abgesehen hat«, so Alexander Gostev, Chief Security Expert bei Kaspersky Lab. »Daher können wir nicht bestätigen, dass Duqu dasselbe Ziel wie Stuxnet hat. Dennoch sind die Duqu-Infektionen einzigartig. Deshalb gehen wir davon aus, dass Duqu für zielgerichtete und maßgeschneiderte Attacken eingesetzt wird. «

Werner ergänzt: »Bei Duqu deutet vieles darauf hin, dass die Angreifer es auf den Diebstahl von Informationen aus Unternehmen oder politischen Organisationen abgesehen haben. Denn wir haben bei Duqu keine destruktiven Eigenschaften entdeckt. Duqu ist noch komplexer als Stuxnet. Wir nehmen zudem an, dass er aus derselben Quelle wie Stuxnet stammt. Wer auch immer so ein Schadprogramm entwickelt, verfügt über viel Geld, Zeit und Wissen. «