Kaspersky: Stuxnet-Nachfolger Duqu startet Angriffe

Google, Android, Malware, Virus, Schadsoftware Bildquelle: Google
Die Malware-Experten des Sicherheits-Dienstleisters Kaspersky Lab haben zielgerichtete Attacken des Duqu-Wurms im Iran und Sudan registriert. Das Schadprogramm ähnelt in einigen Merkmalen dem gefährlichen Stuxnet-Wurm, der im vergangenen Jahr Industrieanlagen im Iran im Visier hatte.
Welche Ziele genau die Cyberkriminellen, die hinter dem neuen Schädling stehen, im Blick haben, ist noch unbekannt. Das Schadprogramm sei nach bisherigen Erkenntnissen ein universelles Werkzeug, um gezielte Attacken durchzuführen. Duqu kann je nach Einsatz modifiziert werden, teilte Kaspersky mit.

Die ersten Analysen des Wurms brachten die folgende Erkenntnisse: In den bisher entdeckten Duqu-Modifikationen wurden die verwendeten Treiber verändert. Die manipulierten Treiber verwenden beispielsweise eine gefälschte Signatur oder sie sind nicht signiert. Zudem wurde deutlich, dass weitere Komponenten von Duqu wohl existieren, die aber bisher nicht vorliegen und in ihrer genauen Funktion noch unbekannt sind. Alles in allem kann der Wurm für ein vordefiniertes Ziel modifiziert werden.

"Wir wissen noch nicht, wie sich die Computer mit dem Trojaner infiziert haben", so Tillmann Werner, Senior Virus Analyst bei Kaspersky Lab. "Wenn Duqu aber erst einmal in den Computer eingeschleust ist, modifiziert er die Sicherheitsprogramme so, dass er nicht mehr erkannt wird und unbemerkt bleibt. Die Qualität des Schadprogramms ist verblüffend hoch."

Duqu-Infektionen wurden bisher nur wenige Male entdeckt, was ihn zum Beispiel von Stuxnet unterscheidet. Nachdem die ersten Samples des Schadprogramms aufgetaucht sind, konnte Kaspersky Lab über sein Cloud-basiertes Kaspersky Security Network vier neue Infektionen feststellen, eine im Sudan und drei weitere im Iran.

Bei den vier oben genannten Duqu-Fällen wurde für die Infizierung jeweils eine speziell modifizierte Version des Treibers verwendet. Bei einem der Vorfälle im Iran konnte Kaspersky Lab zwei versuchte Netzwerk-Attacken feststellen, welche auf eine seit 2008 bekannte Schwachstelle im Windows-Betriebssystem abzielten.

Diese Sicherheitslücke wurde unter anderen von Stuxnet und von Kido missbraucht. Die beiden Netzwerk-Attacken fanden am 4. und am 16. Oktober statt. Beide wurden von derselben IP-Adresse ausgeführt, die offiziell einem US-Internet-Provider gehört. Hätte es nur eine Netzwerk-Attacke gegeben, hätte man diese als eine typische Kido-Aktivität klassifizieren können. Dass es in diesem Fall gleich zwei aufeinander folgende Attacken gab, weise aber auf eine explizite Attacke auf ein iranisches Ziel hin, so die Einschätzung der Experten.

"Obwohl sich die von Duqu attackierten Ziele im Iran befinden, gibt es bisher keine Beweise, dass es das Schadprogramm auf iranische Industrie- und Atomanlagen abgesehen hat", erklärte Alexander Gostev, Chief Security Expert bei Kaspersky Lab. "Daher können wir nicht bestätigen, dass Duqu dasselbe Ziel wie Stuxnet hat. Dennoch sind die Duqu-Infektionen einzigartig. Deshalb gehen wir davon aus, dass Duqu für zielgerichtete und maßgeschneiderte Attacken eingesetzt wird."

Bei Duqu deutet Vieles darauf hin, dass die Angreifer es auf den Diebstahl von Informationen aus Unternehmen oder politischen Organisationen abgesehen haben. "Denn wir haben bei Duqu keine destruktiven Eigenschaften entdeckt. Duqu ist noch komplexer als Stuxnet. Wir nehmen zudem an, dass er aus derselben Quelle wie Stuxnet stammt. Wer auch immer so ein Schadprogramm entwickelt, verfügt über viel Geld, Zeit und Wissen", so Werner. Google, Android, Malware, Virus Google, Android, Malware, Virus Google
Diese Nachricht empfehlen
Kommentieren23
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 17:50 Uhr Der Herr der Ringe - Die Spielfilm Trilogie (Extended Edition) [Blu-ray]
Der Herr der Ringe - Die Spielfilm Trilogie (Extended Edition) [Blu-ray]
Original Amazon-Preis
39,99
Im Preisvergleich ab
39,99
Blitzangebot-Preis
34,97
Ersparnis zu Amazon 13% oder 5,02

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Tipp einsenden