Unbekannte Programmiersprache in Duqu entdeckt

Die Sicherheits-Experten beim russischen Unternehmen Kaspersky Lab haben wohl Hinweise darauf gefunden, dass es sich bei den Schädlingen Stuxnet und Duqu nicht um Einzelprojekte handelt, sondern diese Bestandteil eines deutlich weitergehenden Programms sind. Darauf deutet zumindest die Tatsache hin, dass Duqu zu Teilen in einer bislang unbekannten Programmiersprache geschrieben wurden. Der Trojaner stammt nach bisherigen Erkenntnissen vom der selben Quelle, wie der berühmt-berüchtigte Stuxnet-Wurm. Seine Hauptaufgabe besteht darin, eine Backdoor in ein System einzuschleusen und damit den Diebstahl sensibler Informationen zu ermöglichen.

Duqu selbst wurde erstmals im September 2011 entdeckt, jedoch registrierte Kaspersky Lab schon im August 2007 Malware, von der mittlerweile bekannt ist, dass sie eindeutig mit diesem Trojaner in Zusammenhang steht. Duqu wird von den Kaspersky-Experten mit über einem Dutzend Vorfällen, zumeist mit Opfern im Iran, in Zusammenhang gebracht. Dabei lagen seine Hauptangriffsziele im Stehlen von Informationen zu industriellen Kontrollsystemen.

Der Trojaner stellte die Fachwelt vor ein Rätsel, denn der Trojaner kommunizierte mit seinem Command-and-Control-Server (C&C) sobald er eine Opfermaschine infiziert hatte. Das für die Interaktion mit dem C&C verantwortliche Modul von Duqu ist Teil seiner Payload-DLL. Kaspersky-Experten konnten nun feststellen, dass der Kommunikationsteil in einer bislang unbekannten Programmiersprache verfasst war. Sie nannten diesen unbekannten Bereich "Duqu Framework".

Im Gegensatz zu allen anderen Teilen ist das Duqu-Framework nicht in C++ geschrieben und nicht mit Visual C++ 2008 von Microsoft kompiliert worden. Es ist möglich, dass die Autoren ein selbst erstelltes Framework genutzt haben, um einen dazwischenliegenden C-Code zu generieren oder sie nutzten eine komplett andere Programmiersprache, vermuten die Entwickler, die sich mit der Analyse der Malware beschäftigen.

Die Kaspersky-Analysen hätten jedenfalls ergeben, dass die Sprache objektorientiert ist und mit einem eigenen Set an relevanten Aktivitäten arbeitet, die für Netzwerkapplikationen geeignet sind. Die Sprache im Duqu-Framework sei hoch spezialisiert. Es ermöglicht der Payload-DLL, unabhängig von anderen Duqu-Modulen zu arbeiten und verbindet sich mit seinem C&C-Server über mehrere Wege. Darüber hinaus kann die DDL HTTP-Serveranfragen vom C&C und auch zusätzliche schädliche Payloads von anderen Maschinen im Netzwerk verbreiten, die eine kontrollierte und diskrete Form von Infektionen ermöglicht.

"Gemessen an der Größe des Duqu-Projekts könnte ein komplett eigenes Team für die Erstellung des Duqu-Frameworks sowie dedizierte Teams für die Erstellung der Treiber und der Systeminfektions-Exploits verantwortlich gewesen sein", sagt Alexander Gostev, Chief Security Expert bei Kaspersky Lab. "Die außergewöhnlich hohe Anpassung und Exklusivität, mit der die Programmiersprache entwickelt wurde, deutet darauf hin, dass man nicht nur die Spionageoperationen und die Interaktion mit den C&Cs für Außenstehende verschleiern, sondern auch andere interne Duqu-Teams separieren wollte, die für das Schreiben von zusätzlichen Teilen des Schadprogramms verantwortlich waren."