Neuauflage von Stuxnet?
Das Sicherheitsunternehmen Symantec hat jetzt eine neue Malware analysiert, die Stuxnet sehr ähnlich ist. “DuQu” jedoch hat eine ganz andere Ausrichtung. Ging es bei Stuxnet gezielt um das iranische Atomprogramm, zielt DuQu vor allem auf Spionage und gezielte Attacken.
“Frappierende Ähnlichkeiten” weise die Malware DuQu mit der hochentwickelten Malware Stuxnet auf. Stuxnet gilt als das Werk eines staatlichen Geheimdienstes und richtete sich gezielt auf das iranische Atom-Programm. Bis heute stellt Stuxnet die Experten vor Rätsel. Es sollen Geheimdienste der USA und Israel an dem Projekt beteiligt gewesen sein. Doch schon bei seiner Entdeckung war klar, dass diese Malware alle bisher dagewesenen Schädlinge in den Schatten stellt.
Nun kommt DoQu und lebt das mit Stuxnet eingeläutete neue Malware-Zeitalter weiter. Es handelt sich um einen hochspezialisierten Trojaner, der Überwachungsdaten und andere Informationen aus Organisationen abziehen kann.
Pikant ist die Branche, auf die Stuxnet abzielt: Es handelt sich um Hersteller von Industriekontroll-Systemen. Vermutlich wollen die Schöpfer von DoQu Informationen sammeln um künftig leichter großangelegte Attacken durchführen zu können.
“Die Angreifer sind offenbar auf der Suche nach Informationen, wie etwa Design-Dokumenten, die ihnen dabei helfen können, eine Attacke auf eine industrielle Kontrolleinheit zu fahren”, teilt das Symantec Security Response Team mit.
Symantec erklärt, es sei im Besitz mehrerer Exemplare dieser Malware, allerdings wurden noch nicht alle ausgewertet. Angeblich stamme ein Exemplar von einem bisher ungenannten Forschungslabor mit stark internationaler Ausrichtung. Symantec erklärt nach einer ersten Analyse auch, dass DuQu “nahezu identisch mit Stuxnet” ist, dass aber die Zielsetzung eine ganz andere sei.
Bei DuQu handle es sich offenbar um die Vorhut, die eine Attacke im Stil von Stuxnet vorbereiten soll. Es könnte sich um den gleichen Autor handeln, oder jemanden, der Zugriff auf den Source-Code von Stuxnet hatte. DuQu scheint zudem von der letzen bekannte Stuxnet-Version abgeleitet zu sein. DuQu und Stuxnet teilen sich die gleiche modulare Struktur, die gleichen Injektionsmechanismen und auch einen Treiber, der mit einem gefälschten Schlüssel signiert ist.
Allerdings zielt DuQu anders als Stuxnet nicht darauf ab, industrielle Kontrollsysteme zu attackieren. Er soll vielmehr als Remote Access Trojaner (RAT) fungieren. Zudem repliziert sich DuQu nicht selbst. Über einen Infostealer nimmt DuQu Informationen wie Tasteneingaben oder andere Systeminformationen auf.
Diese Informationen leitet DuQu über HTTP und HTTPS über Dummy-JPEG-Dateien verschlüsselt auf einen Kontroll-Server weiter, der derzeit wohl noch operiert. Inzwischen schreibt das Sicherheitsunternehmen McAfee, dass der Server in Indien steht, und dass die IP-Adresse wohl inzwischen auf einer Blacklist der ISP gelandet ist und daher nicht mehr erreichbar ist.
Insgesamt hat Symantec zwei verschiedene Varianten entdecken können. Eine der Varianten war mit einem gültigen digitalen Zertifikat ausgerüstet, das am 2. August 2012 ausläuft. Es stammt von dem taiwanischen Unternehmen C-Media Electronics Incorporation. McAfee geht davon aus, dass dieses Zertifikat nicht gestohlen wurde, sondern im Zuge der Attacke im Namen dieses Unternehmens generiert wurde. Dieser Darstellung widerspricht allerdings Symantec in einem Blog und erklärt, dass das Zertifikat wohl doch gestohlen wurde.
“Dieser Angriff war sehr stark auf eine ganz bestimmte und kleine Gruppe von Organisationen gerichtet und er Zielte auch auf ganz spezielle Informationen”, teilt Symantec mit. Es sei zudem möglich, dass derzeit gegen andere Organisationen ähnliche Attacken mit noch unentdeckten Varianten laufen, warnt Symantec. Eine eingehende technische Analyse hat Symantec als PDF veröffentlicht.
In einem Fall konnten die Angreifer keine sensiblen Daten extrahieren, aber derzeit liegen noch nicht Details von allen Fällen vor. Den ersten Hinweis auf DuQu gab es am 1. September 2011. Aufgrund der Dateikompilierung hält es Symantec für möglich, dass die ersten Attacken bereits im Dezember 2010 stattgefunden haben könnten. Die derzeit bekannten Varianten sind nur 36 Tage aktiv. Nach dieser Frist löschen sie sich selbst aus dem angegriffenen System.