Duqu reitet erste Angriffe

Die Virenjäger haben zielgerichtete Attacken des Duqu-Wurms im Iran und Sudan identifiziert. Das Schadprogramm ähnelt in einigen Merkmalen dem gefährlichen Stuxnet-Wurm, der im vergangenen Jahr Industrieanlagen im Iran im Visier hatte. Welche Ziele genau die Cyberkriminellen bei Duqu im Blick haben, ist aber noch unbekannt. Das gefährliche Schadprogramm sei ein universelles Werkzeug, um gezielte Attacken durchzuführen, ist Kaspersky überzeugt. Duqu könne je nach Einsatz modifiziert werden, warnt der Sicherheitsexperte. Die ersten Analysen des Wurms haben laut Kaspersky die folgende Erkenntnisse ergeben: In den bisher entdeckten Duqu-Modifikationen wurden die verwendeten Treiber verändert. Die manipulierten Treiber verwenden beispielsweise eine gefälschte Signatur oder sie sind nicht signiert. Zudem wurde deutlich, dass weitere Komponenten von Duqu wohl existieren, die aber bisher nicht vorliegen und in ihrer genauen Funktion noch unbekannt sind. Alles in allem kann der Wurm für ein vordefiniertes Ziel modifiziert werden. «Wir wissen noch nicht, wie sich die Computer mit dem Trojaner infiziert haben», so Tillmann Werner, leitender Viren-Analyst bei Kaspersky Lab. «Wenn Duqu aber erst einmal in den Computer eingeschleust ist, modifiziert er die Sicherheitsprogramme so, dass er nicht mehr erkannt wird und unbemerkt bleibt. Die Qualität des Schadprogramms ist verblüffend hoch.» Lesen Sie auf der zweiten Seite: Hier macht Duqu sich breit Demnach wurden Duqu-Infektionen bisher nur wenige Male entdeckt, was den Wurm zum Beispiel von Stuxnet unterscheidet. Nachdem die ersten Samples des Schadprogramms aufgetaucht sind, konnte Kaspersky über sein Cloud-basiertes Security-Network vier neue Infektionen feststellen, eine im Sudan und drei weitere im Iran. Bei den vier oben genannten Duqu-Fällen wurde für die Infizierung jeweils eine speziell modifizierte Version des Treibers verwendet. Bei einem der Vorfälle im Iran konnte Kaspersky zwei versuchte Netzwerk-Attacken feststellen, welche auf die Schwachstelle MS08-067 abzielten. Diese Schwachstelle wurde unter anderen von Stuxnet und von Kido missbraucht. Die beiden Netzwerk-Attacken fanden am 4. und am 16. Oktober 2011 statt. Beide wurden von derselben IP-Adresse ausgeführt, die offiziell einem US-Internet-Provider gehört. Hätte es nur eine Netzwerk-Attacke gegeben, hätte man diese als eine typische Kido-Aktivität klassifizieren können. Dass es in diesem Fall gleich zwei aufeinander folgende Attacken gab, weist aber auf eine explizite Attacke auf ein iranisches Ziel hin. Es ist aber möglich, dass bei diesem Angriff noch weitere Schwachstellen ausgenutzt wurden. «Obwohl sich die von Duqu attackierten Ziele im Iran befinden, gibt es bisher keine Beweise, dass es das Schadprogramm auf iranische Industrie- und Atomanlagen abgesehen hat», so Alexander Gostev, Chief Security Expert bei Kaspersky. «Daher können wir nicht bestätigen, dass Duqu dasselbe Ziel wie Stuxnet hat. Dennoch sind die Duqu-Infektionen einzigartig. Deshalb gehen wir davon aus, dass Duqu für zielgerichtete und massgeschneiderte Attacken eingesetzt wird.» Sein Kollege Werner ergänzt: «Bei Duqu deutet vieles darauf hin, dass die Angreifer es auf den Diebstahl von Informationen aus Unternehmen oder politischen Organisationen abgesehen haben. Denn wir haben bei Duqu keine destruktiven Eigenschaften entdeckt. Duqu ist noch komplexer als Stuxnet. Wir nehmen zudem an, dass er aus derselben Quelle wie Stuxnet stammt. Wer auch immer so ein Schadprogramm entwickelt, verfügt über viel Geld, Zeit und Wissen.»