Neue Hinweise auf Ursprung von Stuxnet & Duqu
Der russische Security-Dienstleister Kaspersky Lab hat eine neue Analyse veröffentlicht, die belegen soll dass die Trojaner Duqu und Stuxnet aus der selben Quelle kommen. Nach Angaben des Unternehmens hätten sich neue Indizien gefunden, die den Anfangsverdacht bestätigen.
So fanden die Security-Experten verschiedene Treiber, die den Verdacht erhärten, dass bei beiden Schädlingen dieselbe Plattform mit dem Namen "Tilded" verwendet wurde. Diese kann nach Bedarf flexibel für spezifische Ziele angepasst werden. Anhand der Erstellungsdaten der sieben gefundenen Treiberfamilien datiert Kaspersky das Entstehungsdatum der Plattform Tilded auf Ende 2007 bis Anfang 2008.
Anschließend wurden an Tilded im Sommer oder Herbst 2010 entscheidende Veränderungen vorgenommen, hieß es. Diese wurden wohl zum einen wegen der weiteren Entwicklung des Codes und zum anderen zur Umgehung einer Entdeckung durch AV-Programme getätigt. Zwischen 2007 und 2011 liefen mehrere Projekte zur Entwicklung von Programmen auf der Basis von Tilded. Im Gegensatz von Stuxnet und Duqu sind die übrigen Projekte allerdings bis heute unbekannt.
"Die Treiber von den noch unbekannten Schadprogrammen können nicht den Aktivitäten von Stuxnet und Duqu zugeordnet werden", erklärte Alexander Gostev, Chief Security Expert bei Kaspersky Lab. "Denn eine Verbreitung von Stuxnet hätte eine große Anzahl an Infektionen mit diesen Treibern zur Folge gehabt. Auch Duqu kommt hier wegen des Erstellungsdatums nicht in Frage. Wir gehen davon aus, dass diese Treiber entweder in einer früheren Version von Duqu oder für eine Infektion mit komplett anderen Schadprogrammen verwendet wurden. Höchstwahrscheinlich stecken aber dieselben Hintermänner dahinter."
Die Kaspersky-Experten gehen zudem davon aus, dass die Cyberkriminellen mehrmals im Jahr eine neue Version des Treibers erstellen, der für das Laden der Hauptmodule der schädlichen Programme verwendet wird. Ist ein neuer Angriff geplant, werden mit Hilfe eines speziellen Programms mehrere Parameter des Treibers geändert, zum Beispiel der Registrierungsschlüssel. Je nach Aufgabenstellung kann eine solche Datei auch durch ein legales digitales Zertifikat signiert oder komplett ohne Signatur versendet werden.
Anschließend wurden an Tilded im Sommer oder Herbst 2010 entscheidende Veränderungen vorgenommen, hieß es. Diese wurden wohl zum einen wegen der weiteren Entwicklung des Codes und zum anderen zur Umgehung einer Entdeckung durch AV-Programme getätigt. Zwischen 2007 und 2011 liefen mehrere Projekte zur Entwicklung von Programmen auf der Basis von Tilded. Im Gegensatz von Stuxnet und Duqu sind die übrigen Projekte allerdings bis heute unbekannt.
"Die Treiber von den noch unbekannten Schadprogrammen können nicht den Aktivitäten von Stuxnet und Duqu zugeordnet werden", erklärte Alexander Gostev, Chief Security Expert bei Kaspersky Lab. "Denn eine Verbreitung von Stuxnet hätte eine große Anzahl an Infektionen mit diesen Treibern zur Folge gehabt. Auch Duqu kommt hier wegen des Erstellungsdatums nicht in Frage. Wir gehen davon aus, dass diese Treiber entweder in einer früheren Version von Duqu oder für eine Infektion mit komplett anderen Schadprogrammen verwendet wurden. Höchstwahrscheinlich stecken aber dieselben Hintermänner dahinter."
Die Kaspersky-Experten gehen zudem davon aus, dass die Cyberkriminellen mehrmals im Jahr eine neue Version des Treibers erstellen, der für das Laden der Hauptmodule der schädlichen Programme verwendet wird. Ist ein neuer Angriff geplant, werden mit Hilfe eines speziellen Programms mehrere Parameter des Treibers geändert, zum Beispiel der Registrierungsschlüssel. Je nach Aufgabenstellung kann eine solche Datei auch durch ein legales digitales Zertifikat signiert oder komplett ohne Signatur versendet werden.
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Antivirus:
Neue Nachrichten
Beliebte Nachrichten
Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
Meist kommentierte Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen