Trojanisches PferdVirus Duqu alarmiert IT-Sicherheitsexperten

Auf Rechnern mehrerer Firmen ist eine Schadsoftware gefunden worden, die Teile des Codes von Stuxnet nutzt. Was Duqu ausspionieren soll, ist den Experten noch nicht klar. von dpa

Auf mehreren Computern in Europa ist eine Art kleiner Bruder des Computerschädlings Stuxnet entdeckt worden. Die neue Schadsoftware, die den Namen Duqu bekam, ist ein Trojaner, der Entwickler von Industrieanlagen ausspähen sollte, berichtet die IT-Sicherheitsfirma Symantec in einer Analyse der Software. Duqu enthalte Teile des Codes von Stuxnet, des Virusprogramms, das wahrscheinlich das iranische Atomprogramm sabotieren sollte. Der Autor von Duqu habe offensichtlich Zugang zum Quellcode von Stuxnet besessen, glauben die Autoren der Analyse. Jedoch sei die "Nutzlast" des Trojaners komplett anders als bei Stuxnet – der Programmteil also, der festlegt, was bei dem Angriff gestohlen oder zerstört wird.

"Duqu ist im Grunde der Vorbote einer zukünftigen Stuxnet-artigen Attacke", schreiben Experten von Symantec in ihrer Analyse. Der Trojaner sammle Daten von Computern und übermittle sie an seine Entwickler. Duqu sei auf den Computern von sieben oder acht europäischen Unternehmen gefunden worden, die an der Entwicklung von Industrieanlagen-Software beteiligt seien, sagte ein Symantec-Analyst dem Online-Dienst CNET.

Anzeige

Symantec schreibt, das Programm könne sich nicht selbst verfielfältigen, sei also kein Wurm, der sich selbständig verbreitet. Außerdem sei es maßgeschneidert für ganz bestimmte Ziele. Wobei es möglich sei, dass andere Firmen und Organisationen mit anderen Varianten des Programms angegriffen würden, die man bislang noch nicht entdeckt habe.

Duqu selbst richtet dabei noch keinen Schaden an, sondern dient dazu, sich einzuschleichen und andere Programme nachzuladen. In der Analyse heißt es: "Die Angreifer nutzten Duqu, um einen Infostealer zu installieren, der Tastenanschläge aufzeichnen kann und Systeminformationen sammelt." Offensichtlich hätten die Angreifer in den befallenen Systemen nach Informationen gesucht, um künftige Attacken zu planen.

Die Software sei so programmiert, dass sie sich nach 36 Tagen automatisch von den Rechnern entfernt: "Wir wissen bisher nicht, worauf genau sie es abgesehen hat." Die erste Attacke habe wahrscheinlich bereits im Dezember 2010 stattgefunden.

Die IT-Sicherheitsfirma McAfee glaubt, dass mit Duqu auch Unternehmen angegriffen werden können, die digitale Zertifikate zur Autorisierung von Websites und Software ausgeben. Mit gestohlenen Zertifikaten kann man sich im Netz für jemand anderen ausgeben oder gefährliche Programme legal wirken lassen.

Die Herkunft des Programmes ist unklar. Symantec beobachtete lediglich, dass die abgefischten Daten an einen Server in Indien geschickt wurden. Außerdem habe eine Variante des Trojaners ein gültiges Zertifikat benutzt, das auf eine Firma in Taipeh in Taiwan ausgestellt war.

Zur Startseite
 
Leserkommentare
  1. Wenn Duqu Teile von Stuxnet enthält und sich in mehrerlei Hinsicht auch ganz ähnlich verhält wie Stuxnet (ähnliche Ziele, bewusst unauffällig etc.) - ist es dann nicht irgendwie naheliegend, dass beide vielleicht aus der gleichen Quelle stammen?

    Wer hinter Stuxnet steckt, ist ja mittlerweile recht klar...

    • dth
    • 19. Oktober 2011 17:23 Uhr

    Auch Stuxnet hat ja erst einmal "normale" Rechner befallen und auf Teilen von Anlagensteuerungen laufen auch oft "normale" Betriebssyteme. Folglich gibt es da Überlappungen in der Funktionalität und im vorliegenden Wurm wurden nun eben Teile von Stuxnet entdeckt.
    Also stecken wohl die selben Leute dahinter oder welche, die mit diesen irgend etwas zu tun haben.
    Viel sagt das nicht aus, außer, dass Angriffe wie Stuxnet wohl in Zukunft öfter vorkommen werden, wenn hier schon jemand den nächsten vorbereitet.

    Antwort auf "Ja. z. B. diese:"
    Reaktionen auf diesen Kommentar anzeigen

    Soweit ich das bis jetzt überschaue sieht es aber eher so aus, als wäre Duqu eher darauf getrimmt, SPS-Anlagen auszuspionieren. Das würde ja Sinn machen, weil man mit den so gewonnenen Erkenntnissen einen sehr viel besseren Ansatz für einen anschließenden Angriff mit Stux hätte.

    Dass da irgendein Zusammenhang mit dem Bundestrojaner bestehen sollte, glaube ich eher nicht. Zumal laut Spiegel Online ja wohl noch ein zweiter Trojaner aus dem Hause Digitask entdeckt wurde.

  2. Soweit ich das bis jetzt überschaue sieht es aber eher so aus, als wäre Duqu eher darauf getrimmt, SPS-Anlagen auszuspionieren. Das würde ja Sinn machen, weil man mit den so gewonnenen Erkenntnissen einen sehr viel besseren Ansatz für einen anschließenden Angriff mit Stux hätte.

    Dass da irgendein Zusammenhang mit dem Bundestrojaner bestehen sollte, glaube ich eher nicht. Zumal laut Spiegel Online ja wohl noch ein zweiter Trojaner aus dem Hause Digitask entdeckt wurde.

    Antwort auf "Gemeinsamkeiten"
    Reaktionen auf diesen Kommentar anzeigen
    • dth
    • 20. Oktober 2011 19:40 Uhr

    Nein, ein Zusammenhang mit dem Bundestrojaner lässt sich praktisch sicher ausschließen. Bei Stuxnet waren Profis am Werk.

  3. Wenn der Staat sich selbst die Trojaner erlaubt, werden es auch andere tun. Warum auch nicht.

    • strlcp
    • 19. Oktober 2011 19:19 Uhr

    schön, dass Sie sicher sein können.
    wo doch sonst in der IT der Satz gilt:
    "das einzig sichere System ist ein abgeschaltettes."

    aber Sie haben ja Hirn, wie Sie selbst sagen.

    • c2j2
    • 19. Oktober 2011 22:59 Uhr

    "zurückgeblieben" im IT-Wissen, so von wegen "Admin darf alles unter Windows". Seit Vista hat sich das geändert.

    Und für ganz so doof sollte man Leute nicht halten, die einen Trojaner installieren möchten und Zugriff zum Rechner haben. Die bekommen das hin, egal wieviele Stellen Dein Passwort hat.

    • dth
    • 20. Oktober 2011 19:40 Uhr

    Nein, ein Zusammenhang mit dem Bundestrojaner lässt sich praktisch sicher ausschließen. Bei Stuxnet waren Profis am Werk.

    Antwort auf "Das ist sicher richtig"

Bitte melden Sie sich an, um zu kommentieren

  • Quelle ZEIT ONLINE, dpa
  • Schlagworte Computer | Online-Dienst | Software | Stuxnet | Atomprogramm | Autor
Service