Stuxnet-Nachfolger Duqu: Attacken auf Objekte im Iran und Sudan
Komplexes Spionage-Programm stiehlt zielgerichtet sensible Informationen
Moskau/Ingolstadt (pts021/27.10.2011/14:10) Kaspersky Lab identifiziert zielgerichtete Attacken des Duqu-Wurms im Iran und Sudan. Das Schadprogramm ähnelt in einigen Merkmalen dem gefährlichen Stuxnet-Wurm, der im vergangenen Jahr Industrieanlagen im Iran im Visier hatte. Welche Ziele genau die Cyberkriminellen bei Duqu im Blick haben, ist noch unbekannt. Das gefährliche Schadprogramm ist ein universelles Werkzeug, um gezielte Attacken durchzuführen. Duqu kann je nach Einsatz modifiziert werden.
Die ersten Kaspersky-Analysen des Wurms haben die folgende Erkenntnisse ergeben: In den bisher entdeckten Duqu-Modifikationen wurden die verwendeten Treiber verändert. Die manipulierten Treiber verwenden beispielsweise eine gefälschte Signatur oder sie sind nicht signiert. Zudem wurde deutlich, dass weitere Komponenten von Duqu wohl existieren, die aber bisher nicht vorliegen und in ihrer genauen Funktion noch unbekannt sind. Alles in allem kann der Wurm für ein vordefiniertes Ziel modifiziert werden.
"Wir wissen noch nicht, wie sich die Computer mit dem Trojaner infiziert haben", so Tillmann Werner, Senior Virus Analyst bei Kaspersky Lab. "Wenn Duqu aber erst einmal in den Computer eingeschleust ist, modifiziert er die Sicherheitsprogramme so, dass er nicht mehr erkannt wird und unbemerkt bleibt. Die Qualität des Schadprogramms ist verblüffend hoch."
Duqu-Infektionen wurden bisher nur wenige Male entdeckt, was ihn zum Beispiel von Stuxnet unterscheidet. Nachdem die ersten Samples des Schadprogramms aufgetaucht sind, konnte Kaspersky Lab über sein Cloud-basiertes Kaspersky Security Network vier neue Infektionen feststellen, eine im Sudan und drei weitere im Iran.
Bei den vier oben genannten Duqu-Fällen wurde für die Infizierung jeweils eine speziell modifizierte Version des Treibers verwendet. Bei einem der Vorfälle im Iran konnte Kaspersky Lab zwei versuchte Netzwerk-Attacken feststellen, welche auf die Schwachstelle MS08-067 abzielten. Diese Schwachstelle wurde unter anderen von Stuxnet und von Kido missbraucht. Die beiden Netzwerk-Attacken fanden am 4. und am 16. Oktober 2011 statt. Beide wurden von derselben IP-Adresse ausgeführt, die offiziell einem US-Internet-Provider gehört. Hätte es nur eine Netzwerk-Attacke gegeben, hätte man diese als eine typische Kido-Aktivität klassifizieren können. Dass es in diesem Fall gleich zwei aufeinander folgende Attacken gab, weist aber auf eine explizite Attacke auf ein iranisches Ziel hin. Es ist aber möglich, dass bei diesem Angriff noch weitere Schwachstellen ausgenutzt wurden.
"Obwohl sich die von Duqu attackierten Ziele im Iran befinden, gibt es bisher keine Beweise, dass es das Schadprogramm auf iranische Industrie- und Atomanlagen abgesehen hat", so Alexander Gostev, Chief Security Expert bei Kaspersky Lab. "Daher können wir nicht bestätigen, dass Duqu dasselbe Ziel wie Stuxnet hat. Dennoch sind die Duqu-Infektionen einzigartig. Deshalb gehen wir davon aus, dass Duqu für zielgerichtete und maßgeschneiderte Attacken eingesetzt wird."
Tillmann Werner, Senior Virus Analyst bei Kaspersky Lab, ergänzt: "Bei Duqu deutet vieles darauf hin, dass die Angreifer es auf den Diebstahl von Informationen aus Unternehmen oder politischen Organisationen abgesehen haben. Denn wir haben bei Duqu keine destruktiven Eigenschaften entdeckt. Duqu ist noch komplexer als Stuxnet. Wir nehmen zudem an, dass er aus derselben Quelle wie Stuxnet stammt. Wer auch immer so ein Schadprogramm entwickelt, verfügt über viel Geld, Zeit und Wissen."
Zwei aktuelle Blogbeiträge zu Duqu von Alexander Gostev sind verfügbar unter:
http://www.securelist.com/en/blog/208193197/The_Mystery_of_Duqu_Part_Two
http://www.securelist.com/en/blog/208193182/The_Mystery_of_Duqu_Part_One
Für Journalisten und Redakteure hat Kaspersky Lab einen Newsroom eingerichtet. Unter http://newsroom.kaspersky.eu finden Sie alle aktuellen Unternehmens- und Hintergrundinformationen inklusive Audio-, Video- und Bilddateien.
Kaspersky Lab ist Europas größtes Unternehmen für Antivirus-Technologie und reagiert im weltweiten Vergleich von Antivirus-Herstellern meist am schnellsten auf IT-Sicherheitsbedrohungen wie Viren, Spyware, Crimeware, Hacker, Phishing-Attacken und Spam. Das Unternehmen gehört zu den weltweit vier erfolgreichsten Herstellern von Sicherheitslösungen für den Endpoint (IDC 2008). Die Produkte von Kaspersky Lab haben sich sowohl bei Endkunden als auch bei KMU, Großunternehmen und im mobilen Umfeld durch ihre erstklassigen Erkennungsraten und kurzen Reaktionszeiten einen Namen gemacht. Neben den Stand-Alone-Lösungen des Security-Experten ist Kaspersky-Technologie Bestandteil vieler Produkte und Dienstleistungen führender IT-Sicherheitsunternehmen.
Weitere Details zum Unternehmen sind unter http://www.kaspersky.de zu finden. Kurzinformationen von Kaspersky Lab erhalten Sie zudem über http://www.twitter.com/Kaspersky_DACH . Aktuelles zu Viren, Spyware und Spam sowie Informationen zu anderen IT-Sicherheitsproblemen und Trends sind unter http://www.viruslist.de abrufbar.
Redaktionskontakt:
essential media GmbH Kaspersky Labs GmbH
Florian Schafroth Christian Wirsig
florian.schafroth@essentialmedia.de christian.wirsig@kaspersky.de
Tel.: +49-89-7472-62-43 Tel.: +49-841-98-189-325
Fax: +49-89-7472-62-17 Fax: +49-841-98-189-100
Landwehrstraße 61 Despag-Straße 3
80336 München 85055 Ingolstadt
© 2011 Kaspersky Lab. The information contained herein is subject to change without notice. The only warranties for Kaspersky Lab products and services are set forth in the express warranty statements accompanying such products and services. Nothing herein should be construed as constituting an additional warranty. Kaspersky Lab shall not be liable for technical or editorial errors or omissions contained herein.
(Ende)| Aussender: | Kaspersky Labs GmbH |
| Ansprechpartner: | Florian Schafroth |
| Tel.: | +49-89-74 72 62 - 43 |
| E-Mail: | florian.schafroth@essentialmedia.de |
| Website: | www.essentialmedia.de |
