Der Computerwurm Stuxnet sorgte im vergangenen Jahr für viel Aufsehen. Er infizierte Computer über den gesamten Erdball, hatte aber anscheinend nur das Ziel das Atomkraftwerk Buschehr im Iran anzugreifen. Beachtenswert war dabei der komplexe Code des Wurms. Ein solch ausgereifter Schädling, so waren sich führende Sicherheitsfirmen einig, konnte nur durch die Unterstützung durch ein oder mehrere Staaten entstanden sein. So vermutete man ein Gemeinschaftsprojekt zwischen USA und Israel. Erstere hatten kürzlich China beschuldigt, Cyberangriffe auf Industrie und Wirtschaft zu führen und so ein neues Feld der Industriespionage zu eröffnen. Nun erscheint offenbar sein Nachfolger auf der Bildfläche des Internets.
Die Firma McAfee vermutet hinter dem Neuling die gleichen Autoren oder zumindest ein Team, das sich deren Wissen zu Eigen gemacht hat. So gleiche das Verhalten Duqus stark dem Vorgänger, der sich ebenfalls in signierten Treibern und DLLs versteckte. McAfee fand auf infizierten Rechnern zwei sys-Dateien namens cmi4432.sys und jminet7.sys und eine dritte, die als Keylogger fungiert. Eine der beiden sys-Dateien sei zudem mit einem digitalem Zertifikat von C-Media versehen, einem taiwanesischen Hersteller, der für Audio-Chips bekannt ist. Beide Dateien enthalten annähernd den gleichen Code, der die benötigten DLLs entschlüsselt und ausführt.
Symantec gibt an, dass der Code vermutlich bereits seit Dezember letzten Jahres unterwegs ist und mittels HTTP und HTTPS mit einem C&C-Server (Command and Control) Kontakt hält. Dabei werden neben Netzwerkinformationen auch Tastatureingaben und Systemdaten komprimiert und verschlüsselt als JPG-Datei übertragen. Nach 36 Tagen entfernt sich der Virus selbstständig vom System, ohne ein Spur zu hinterlassen. So sind zwar weite Teile das Codes mit Stuxnet verwand, doch die Arbeitsweise unterscheidet sich maßgeblich. War der Vorgänger noch zur Sabotage ausgelegt, hat Duqu einzig die Aufgabe, Informationen zu sammeln und einen Remote-Zugriff zu ermöglichen. Auch Symantec ist sich sicher, dass die Erschaffer zumindest Zugriff auf den Source-Code von Stuxnet hatten und nicht nur auf die Binaries. Man geht weiter davon aus, dass Duqu ein Wegbereiter für weitere stuxnetartige Angriffe sein könnte.
Diesen Artikel bookmarken oder senden an ...
