Neues Spionageprogramm der Stuxnet-Entwickler

Antivirenexperten haben auf den Rechnern europäischer Unternehmen einen Trojaner entdeckt, der sehr wahrscheinlich von den Machern des berüchtigten Stuxnet-Wurms stammt, wie Symantec berichtet. Der Schädling wurde unter anderem bei Herstellern von Industrieanlagensteuerungen entdeckt. Das deutet darauf hin, dass er zum Diebstahl von Betriebsgeheimnissen ausgelegt war, um weitere Angriffe auf Unternehmen vorzubereiten.

Der Duqu getaufte Wurm weist zahlreiche Parallelen zu Stuxnet auf, wie aus der Symantec-Analyse hervorgeht. Das Unternehmen nimmt deshalb an, dass die Virenschreiber zumindest Zugriff auf den Stuxnet-Quellcode hatten, wenn er nicht sogar von den gleichen Entwicklern stammt. Anders als Stuxnet, der auf die Manipulation von Industrieanlagen programmiert war, handelt es sich jedoch bei Duqu um ein klassisches Spionageprogramm, das sich zum Einsammeln vertraulicher Informationen eignet – Sabotagefunktionen sind nach aktuellem Kenntnisstand nicht an Bord; Symantec spricht von einem "Vorläufer eines Stuxnet-Nachfolgers".

Vergleichbar mit modernen Trojanern wie ZeuS kommuniziert Duqu verschlüsselt mit einem Kommandoserver, bei dem der infizierte Rechner gesammelte Daten abliefert und neue Befehle abholt. So kann der Botnet-Betreiber auch weitere Software-Komponenten installieren. Dies scheint in einem Fall auch passiert zu sein: Symantec fand eine Schnüffelsoftware vor, die neben Screenshots und Tastatureingaben unter anderem auch Informationen über laufende Prozesse und Netzwerkfreigaben übermittelte.

Damit Duqu möglichst lange unentdeckt bleibt, wurde er anscheinend nur für gezielte Angriffe eingesetzt. Vermutlich um eine Analyse in der Sandbox zu umgehen, wartet Duqu nach der ersten Ausführung erst einmal 15 Minuten ab, ehe er aktiv wird. Nach 36 Tagen löscht sich die Schadsoftware selbstständig vom infizierten System.

Da Duqu unter anderem bei Hersteller von Industriesteueranlagen gefunden wurde, geht Symantec davon aus, dass der Schädling der Vorbote neuer Stuxnet-artiger Angriffe sein könnte. Die Angreifer könnten gestohlenen Informationen über Industriesteueranlagen nutzen, um weitere Angriffe auf Unternehmen, die die Anlagen nutzen, vorzubereiten. Stuxnet wurde eingesetzt, um das iranische Atomprogramm zu sabotieren.

Der Verbreitungsweg der Spionagesoftware ist noch nicht geklärt. Symantec geht davon aus, dass die Infektion über einen separaten Installer erfolgt, der den Antivirenexperten noch nicht vorliegt. Symantec liegen Duqu-Varianten vor, die Ende vergangenen Jahres kompiliert und vermutlich bereits kurze Zeit darauf eingesetzt wurden.

Pikant ist die Tatsache, dass Duqu mit einem zum Zeitpunkt des Funds gültigen Zertifikat eines in Taipeh (Taiwan) ansässigen Unternehmens signiert war, das erst im August nächsten Jahres ausgelaufen wäre. Dazu haben Duqu-Entwickler laut Symantec den entsprechenden privaten Schlüssel gestohlen. Durch seine gültige Signatur konnte sich der Schädling als Kerneltreiber ins System integrieren, wodurch er zuverlässig bei jedem Systemstart ausgeführt wurde. Anschließend infizierte er Prozesse, indem er Funktionsaufrufe auf seine Schadroutinen umgeleitet hat.

Das Zertifikat wurde von VeriSign ausgestellt und nach der Entdeckung von Duqu am 14. Oktober dieses Jahres für ungültig erklärt. Auch Stuxnet wurde mit damals gültigen privaten Schlüsseln taiwanischer Unternehmen signiert. (rei)