Kaspersky Lab

 

Pressemitteilungen

27.10.2011

Stuxnet-Nachfolger Duqu: Attacken auf Objekte im Iran und Sudan

Komplexes Spionage-Programm stiehlt zielgerichtet sensible Informationen

Kaspersky Lab identifiziert zielgerichtete Attacken des Duqu-Wurms im Iran und Sudan. Das Schadprogramm ähnelt in einigen Merkmalen dem gefährlichen Stuxnet-Wurm, der im vergangenen Jahr Industrieanlagen im Iran im Visier hatte.

Welche Ziele genau die Cyberkriminellen bei Duqu im Blick haben, ist noch unbekannt. Das gefährliche Schadprogramm ist ein universelles Werkzeug, um gezielte Attacken durchzuführen. Duqu kann je nach Einsatz modifiziert werden.

Die ersten Kaspersky-Analysen des Wurms haben die folgende Erkenntnisse ergeben: In den bisher entdeckten Duqu-Modifikationen wurden die verwendeten Treiber verändert. Die manipulierten Treiber verwenden beispielsweise eine gefälschte Signatur oder sie sind nicht signiert. Zudem wurde deutlich, dass weitere Komponenten von Duqu wohl existieren, die aber bisher nicht vorliegen und in ihrer genauen Funktion noch unbekannt sind. Alles in allem kann der Wurm für ein vordefiniertes Ziel modifiziert werden.

„Wir wissen noch nicht, wie sich die Computer mit dem Trojaner infiziert haben“, so Tillmann Werner, Senior Virus Analyst bei Kaspersky Lab. „Wenn Duqu aber erst einmal in den Computer eingeschleust ist, modifiziert er die Sicherheitsprogramme so, dass er nicht mehr erkannt wird und unbemerkt bleibt. Die Qualität des Schadprogramms ist verblüffend hoch.“

Duqu-Infektionen wurden bisher nur wenige Male entdeckt, was ihn zum Beispiel von Stuxnet unterscheidet. Nachdem die ersten Samples des Schadprogramms aufgetaucht sind, konnte Kaspersky Lab über sein Cloud-basiertes Kaspersky Security Network vier neue Infektionen feststellen, eine im Sudan und drei weitere im Iran.
Bei den vier oben genannten Duqu-Fällen wurde für die Infizierung jeweils eine speziell modifizierte Version des Treibers verwendet. Bei einem der Vorfälle im Iran konnte Kaspersky Lab zwei versuchte Netzwerk-Attacken feststellen, welche auf die Schwachstelle MS08-067 abzielten. Diese Schwachstelle wurde unter anderen von Stuxnet und von Kido missbraucht. Die beiden Netzwerk-Attacken fanden am 4. und am 16. Oktober 2011 statt. Beide wurden von derselben IP-Adresse ausgeführt, die offiziell einem US-Internet-Provider gehört. Hätte es nur eine Netzwerk-Attacke gegeben, hätte man diese als eine typische Kido-Aktivität klassifizieren können. Dass es in diesem Fall gleich zwei aufeinander folgende Attacken gab, weist aber auf eine explizite Attacke auf ein iranisches Ziel hin. Es ist aber möglich, dass bei diesem Angriff noch weitere Schwachstellen ausgenutzt wurden.

„Obwohl sich die von Duqu attackierten Ziele im Iran befinden, gibt es bisher keine Beweise, dass es das Schadprogramm auf iranische Industrie- und Atomanlagen abgesehen hat“, so Alexander Gostev, Chief Security Expert bei Kaspersky Lab. „Daher können wir nicht bestätigen, dass Duqu dasselbe Ziel wie Stuxnet hat. Dennoch sind die Duqu-Infektionen einzigartig. Deshalb gehen wir davon aus, dass Duqu für zielgerichtete und maßgeschneiderte Attacken eingesetzt wird.“

Tillmann Werner, Senior Virus Analyst bei Kaspersky Lab, ergänzt: „Bei Duqu deutet vieles darauf hin, dass die Angreifer es auf den Diebstahl von Informationen aus Unternehmen oder politischen Organisationen abgesehen haben. Denn wir haben bei Duqu keine destruktiven Eigenschaften entdeckt. Duqu ist noch komplexer als Stuxnet. Wir nehmen zudem an, dass er aus derselben Quelle wie Stuxnet stammt. Wer auch immer so ein Schadprogramm entwickelt, verfügt über viel Geld, Zeit und Wissen.“


Zwei aktuelle Blogbeiträge zu Duqu von Alexander Gostev sind verfügbar unter:
http://www.securelist.com/en/blog/208193197/The_Mystery_of_Duqu_Part_Two
http://www.securelist.com/en/blog/208193182/The_Mystery_of_Duqu_Part_One

Ihr Pressekontakt

Florian Schafroth

E-Mail senden

Tel. +49-(0)89-74 72 62-43
Fax +49-(0)89-74 72 62-17

Downloads

Kaspersky Lab on the Web

Virenanalysten-Blogs