Trojanisches Pferd : Virus Duqu alarmiert IT-Sicherheitsexperten

Auf Rechnern mehrerer Firmen ist eine Schadsoftware gefunden worden, die Teile des Codes von Stuxnet nutzt. Was Duqu ausspionieren soll, ist den Experten noch nicht klar.

Auf mehreren Computern in Europa ist eine Art kleiner Bruder des Computerschädlings Stuxnet entdeckt worden. Die neue Schadsoftware, die den Namen Duqu bekam, ist ein Trojaner, der Entwickler von Industrieanlagen ausspähen sollte, berichtet die IT-Sicherheitsfirma Symantec in einer Analyse der Software. Duqu enthalte Teile des Codes von Stuxnet, des Virusprogramms, das wahrscheinlich das iranische Atomprogramm sabotieren sollte. Der Autor von Duqu habe offensichtlich Zugang zum Quellcode von Stuxnet besessen, glauben die Autoren der Analyse. Jedoch sei die "Nutzlast" des Trojaners komplett anders als bei Stuxnet – der Programmteil also, der festlegt, was bei dem Angriff gestohlen oder zerstört wird.

"Duqu ist im Grunde der Vorbote einer zukünftigen Stuxnet-artigen Attacke", schreiben Experten von Symantec in ihrer Analyse. Der Trojaner sammle Daten von Computern und übermittle sie an seine Entwickler. Duqu sei auf den Computern von sieben oder acht europäischen Unternehmen gefunden worden, die an der Entwicklung von Industrieanlagen-Software beteiligt seien, sagte ein Symantec-Analyst dem Online-Dienst CNET.

Symantec schreibt, das Programm könne sich nicht selbst verfielfältigen, sei also kein Wurm, der sich selbständig verbreitet. Außerdem sei es maßgeschneidert für ganz bestimmte Ziele. Wobei es möglich sei, dass andere Firmen und Organisationen mit anderen Varianten des Programms angegriffen würden, die man bislang noch nicht entdeckt habe.

Duqu selbst richtet dabei noch keinen Schaden an, sondern dient dazu, sich einzuschleichen und andere Programme nachzuladen. In der Analyse heißt es: "Die Angreifer nutzten Duqu, um einen Infostealer zu installieren, der Tastenanschläge aufzeichnen kann und Systeminformationen sammelt." Offensichtlich hätten die Angreifer in den befallenen Systemen nach Informationen gesucht, um künftige Attacken zu planen.

Die Software sei so programmiert, dass sie sich nach 36 Tagen automatisch von den Rechnern entfernt: "Wir wissen bisher nicht, worauf genau sie es abgesehen hat." Die erste Attacke habe wahrscheinlich bereits im Dezember 2010 stattgefunden.

Die IT-Sicherheitsfirma McAfee glaubt, dass mit Duqu auch Unternehmen angegriffen werden können, die digitale Zertifikate zur Autorisierung von Websites und Software ausgeben. Mit gestohlenen Zertifikaten kann man sich im Netz für jemand anderen ausgeben oder gefährliche Programme legal wirken lassen.

Die Herkunft des Programmes ist unklar. Symantec beobachtete lediglich, dass die abgefischten Daten an einen Server in Indien geschickt wurden. Außerdem habe eine Variante des Trojaners ein gültiges Zertifikat benutzt, das auf eine Firma in Taipeh in Taiwan ausgestellt war.

Verlagsangebot

Entdecken Sie mehr.

Lernen Sie DIE ZEIT 4 Wochen lang im Digital-Paket zum Probepreis kennen.

Hier testen

Kommentare

15 Kommentare Seite 1 von 2 Kommentieren

Antwort @ idealerrealist

Das findest Du hier:

um 14:15 h unter:
http://winfuture.de/news,...

Kaspersky findet neue Version des Staatstrojaners. Die Malware-Experten des Security-Unternehmens Kaspersky haben eine weitere Version des Staatstrojaners ausfindig gemacht. Diese enthält deutlich weitergehende Optionen als die bisher bekannten Spionage-Programme, die auf Landesebene eingesetzt wurden.

Die Kaspersky-Analysten Tillmann Werner und Stefan Ortloff sprechen dabei vom "großen Bruder" des bekannten Backdoor-Trojaners, denn die entschlüsselte Datei enthält jetzt sechs Komponenten, die jeweils verschiedene Aufgaben erfüllen. Dabei kann der Trojaner nicht nur unter 32-Bit-Versionen von Windows aktiv werden, sondern auch auf 64-Bit-Versionen.

Die vom Chaos Computer Club (CCC) gezeigten Staatstrojaner waren in erster Linie darauf ausgelegt, Telefonate via Skype abzuhören. "Die von uns analysierte Version zeigt, dass es die Software neben Skype auch auf Web-Browser, verschiedene Instant Messenger und VoIP-Software wie ICQ, MSN Messenger, VoipBuster und Yahoo Messenger abgesehen hat", sagte Werner.

Grüße aus Berlin ==> Drupi

Vielleicht die Frage nicht verstanden...?

Daher frage ich noch einmal:
Was hat Duqu mit dem Staatstrojaner gemein, bzw. wieso können Sie sicher sein, dass Duqu die neue Version des "Staatstrojaners" ist?

Duqu ist, im Gegensatz zum "Staatstrojaner" ein Stuxnet-Derivat. Es handelt sich hierbei um zwei unterschiedliche Trojaner. Aus den Medien geht sogar hervor, dass Duqu in seinem Leistungsumfang ziemlich eingeschränkt ist, während der Staatstrojaner eher vom Umfang einem BO2k entspricht.

Gemeinsamkeiten

Auch Stuxnet hat ja erst einmal "normale" Rechner befallen und auf Teilen von Anlagensteuerungen laufen auch oft "normale" Betriebssyteme. Folglich gibt es da Überlappungen in der Funktionalität und im vorliegenden Wurm wurden nun eben Teile von Stuxnet entdeckt.
Also stecken wohl die selben Leute dahinter oder welche, die mit diesen irgend etwas zu tun haben.
Viel sagt das nicht aus, außer, dass Angriffe wie Stuxnet wohl in Zukunft öfter vorkommen werden, wenn hier schon jemand den nächsten vorbereitet.

Das ist sicher richtig

Soweit ich das bis jetzt überschaue sieht es aber eher so aus, als wäre Duqu eher darauf getrimmt, SPS-Anlagen auszuspionieren. Das würde ja Sinn machen, weil man mit den so gewonnenen Erkenntnissen einen sehr viel besseren Ansatz für einen anschließenden Angriff mit Stux hätte.

Dass da irgendein Zusammenhang mit dem Bundestrojaner bestehen sollte, glaube ich eher nicht. Zumal laut Spiegel Online ja wohl noch ein zweiter Trojaner aus dem Hause Digitask entdeckt wurde.