Ausspionierung läuft Nächster Stuxnet-Angriff in Planung

Die Ähnlichkeit zwischen »Duqu« und »Stuxnet« ist so auffällig, dass von den gleichen Entwicklern ausgegangen wird.
Die Ähnlichkeit zwischen »Duqu« und »Stuxnet« ist so auffällig, dass von den gleichen Entwicklern ausgegangen wird.

Die Macher des berüchtigten Stuxnet-Wurms sind weiterhin aktiv und spähen momentan neue Ziele aus - so die Einschätzung des Anti-Malware-Unternehmens Symtantec.

In mehreren europäischen Rechnern treibt das Spionageprogramm »Duqu« aktuell sein Unwesen. Ausgespäht werden dabei Hersteller von Industriesteuerungen, um einen Angriff auf deren Kunden vorzubereiten.

Symantec geht davon aus, dass es sich um die Stuxnet-Programmierer handelt, oder mindestens Zugriff auf den Source Code des Schädlings bestand, da viele Mechanismen gleich sind. Statt gezielt eine Industrieanlage zu sabotieren, sammelt Duqu hingegegn diverse Systeminformation, zeichnet die Tastaturbenutzung auf und erstellt Screenshots. Die Angreifer suchen so gezielt nach Informationen, unter anderem nach Konstruktionsplänen und Passwörtern.

Die erbeuteten Daten werden als jpg-Dateien getarnt und an einen Server in Indien geschickt. Dieser stellt Duqu auch Programmteile wie einen Keylogger zum Nachladen zur Verfügung. Damit Duqu die Erweiterungen in das System einschleusen kann, wurde ein gestohlenes Zertifikat (das mittlerweile zurückgezogen ist) eines Taiwanesischen Herstellers genutzt. Auch hier wiederholt sich ein Muster, das schon bei Stuxnet zu beobachten war, damals wurden die Taiwan-Unternehmen RealTek und JMicron bestohlen.

Über den Verbreitungsweg der Schadsoftware liegen bislang keine Erkenntnisse vor, Duqu vermehrt sich nicht selbsttätig, löscht sich dafür nach 36 Tagen selber, um seine Spuren zu verwischen. Das Schadprogramm ist also kein klassischer Virus oder Wurm. Ebenfalls unklar ist wie lange der Schädling im Umlauf ist, Symantec geht von Anfang Dezember 2010 aus, die jüngste entdeckte Variante hat ein Compilier-Datum vom 17. Oktober 2011.