Sie sind hier: Home > Digital > Internet & Sicherheit > Sicherheit >

Stuxnet-Nachfolger Duqu erschreckt Sicherheitsprofis

...
t-online.de ist ein Angebot der Ströer Content Group

Stuxnet-Nachfolger erschreckt Sicherheitsprofis

19.10.2011, 15:54 Uhr | Sascha Plischke

Stuxnet-Nachfolger Duqu erschreckt Sicherheitsprofis. Stuxnet-Nachfolger erschreckt Sicherheits-Profis. (Quelle: imago)

Stuxnet-Nachfolger erschreckt Sicherheits-Profis. (Quelle: imago)

Sicherheitsexperten melden eine besorgniserregende Entdeckung: eine neue Schadsoftware, die offenbar von den selben Autoren stammt wie der berüchtigte Stuxnet-Trojaner. Dieser hatte im vergangenen Jahr für weltweites Aufsehen gesorgt, weil er gezielt die Systeme iranischer Nuklear-Anlagen infizierte und das Atomprogramm des Landes sabotierte. Die auf den Namen Duqu getaufte Malware basiert in Teilen auf dem Code des gefährlichen Vorgängers und ist wie Stuxnet auch erschreckend effektiv. Bisher beschränkt sich die Malware auf simple Spionage. Das werten die Experten jedoch als Vorbereitung für eine neue, Aufsehen erregende Attacke.

Ein Ziel dieser möglichen Attacke ist bisher nicht bekannt. Die Experten des US-Sicherheitsdienstleisters Symantec bleiben in ihrem 60-seitigen Bericht zum Auftauchen von Duqu absichtlich vage. Bisher ist nur bekannt, dass Duqu bisher vor allem Informationen sammelt und zu diesem Zweck die Computer-Systeme verschiedener Unternehmen infiltriert hat. Dabei soll es sich um Hersteller von Software für Industrieanlagen handeln.

Die Art der gestohlenen Daten lasse die Absicht der Urheber erkennen, so der Symantec-Bericht: "Die Angreifer suchen nach Informationen wie zum Beispiel Entwurfsunterlagen, die ihnen bei zukünftigen Angriffen auf industrielle Kontroll-Einrichtungen helfen könnten". Solche Kontrollanlagen kommen bei jeder Art von industriellen Herstellungsprozessen zum Einsatz – von der Steuerung einer Abfüllanlage bis hin zur Koordination einer Produktionsstraße in Rüstungsbetrieben.

Erbe des gefährlichen Stuxnet-Virus

Ob Duqu damit einen Angriff vorbereitet, wie ihn Stuxnet im Jahr 2010 ausgeführt hat, ist zur Stunde noch unklar. Stuxnet hatte damals zehntausende Computer-Systeme in 155 Ländern infiziert, darunter auch Computeranlagen in deutschen Kernkraftwerken. Sein eigentliches Ziel war jedoch die iranische Anlage zur Anreicherung von Uran in Natanz. Stuxnet war speziell geschrieben worden, um in dieser Anlage verwendete Siemens-Rechner zu infizieren und durch falsche Steuerungsbefehle daran angeschlossene Zentrifugen zur Urananreicherung zu beschädigen. Alle anderen Infektionen im Rest der Welt waren Kollateralschäden und blieben harmlos. Experten vermuteten damals hinter Stuxnet eine Kooperation israelischer und amerikanischer Geheimdienste, denen das iranische Atomprogramm ein Dorn im Auge ist.

Erschreckende technische Reife

Die Experten zeigten sich verblüfft angesichts der technischen Reife der neuen Schadsoftware, insbesondere im Vergleich mit den Werkzeugen einfacher Online-Krimineller. Duqus Infiltrationsmethoden sind so effektiv, dass er sehr lange unentdeckt operieren konnte. Symantec will jetzt die Spuren erster Spionageangriffe aus dem Dezember 2010 entdeckt haben. Duqu nutzt zur Tarnung ein gestohlenes Software-Zertifikat für Kerneltreiber, wodurch er zuverlässig bei jedem Systemstart ausgeführt wurde. Wie die Schnüffelsoftware auf den PC gelangen konnte, ist bislang noch nicht bekannt. Nach der erfolgreichen Infiltration spioniert Duqu 36 Tage lang, dann löscht sich das Programm selbst und verwischt so seine Spuren.

Besonders erstaunlich ist die Art, in der Duqu seine Kommunikation mit seinen Urhebern tarnt. Denn gerade die Kommunikation mit seinen Steuerungs- und Kommandoservern ist es oft, die einen getarnten Trojaner auffliegen lässt. Duqu versteckt die von ihm erbeuteten Informationen in Bilddateien, die er dann als JPEG an seine Auftraggeber verschickt. Die können die Beute dann wieder aus den Bildern herausfiltern und auswerten. Das Verfahren, Informationen in Bilddateien unsichtbar zu verstecken, nennt sich Steganografie und gilt seit einiger Zeit als hervorragendes Mittel, um sensible Daten unbemerkt austauschen zu können. Neben Screenshots vom Bildschirm und Tastatureingaben sammelt und versendet Duqu über diesen Weg auch Informationen über laufende Prozesse und Netzwerkfreigaben.

Angriff wohl nur eine Frage der Zeit

Bisher sind die Aktivitäten von Duqu noch sehr begrenzt. Etwa sieben bis acht Unternehmen soll die Malware bereits ausspioniert haben. Außerdem ist Duqu etwa 300 Kilobyte kleiner als Stuxnet, was die Experten als Zeichen dafür sehen, dass dem effektiven Spion die Angriffswerkzeuge von Stuxnet fehlen. Grund zur Entwarnung ist das jedoch nicht: Die Angriffsroutinen von Stuxnet waren speziell auf die Siemens-Computer in Natanz zugeschnitten. Duqu sucht derzeit noch nach Informationen über sein unbekanntes Angriffsziel – seine Waffen müssen also erst noch geschmiedet werden.

Leserbrief schreiben

Für Kritik oder Anregungen füllen Sie bitte die nachfolgenden Felder aus. Damit wir antworten können, geben Sie bitte Ihre Adresse an.

Name
E-Mail
Betreff
Nachricht

Wählen Sie aus dem Pull-Down-Menü Ihren gewünschten Ansprechpartner aus. Vielen Dank für Ihre Mitteilung.

Artikel versenden

Empfänger

Absender

Name
Name
E-Mail
E-Mail
Anzeige
Video des Tages
Anzeige

Shopping
Shopping
congstar „Allnet Flat“ mit bis zu 2 GB Daten
zu congstar.de
Mehr zum Thema
Sie sind hier: Home > Digital > Internet & Sicherheit > Sicherheit

Anzeige
shopping-portal
© Ströer Digital Publishing GmbH 2017