12 C&C-Server (Command and Control) für DuQu waren bekannt. Die standen unter anderem in Belgien, Indien und Deutschland. Und diese sind bereits am 20. Oktober allesamt gelöscht worden, wie ein Sicherheitsforscher des Moskauer Kaspersky Lab mitteilt. Das war zwei Tage nachdem Symantec eine Analyse des Trojaner veröffentlicht hatte und dabei auf Parallelen zu Stuxnet hingewiesen hat. Einige dieser Server jedoch waren mindestens seit dem Jahr 2009 unter der Kontrolle der Hacker.
Wie auch der hochentwickelte Stuxnet-Wurm, der auf das iranische Atomprogramm zielte, soll, wie Kasperky jetzt mitteilt, auch DuQu von einer Organisation mit staatlicher Rückendeckung stammen. DuQu jedoch richtet sich nicht gegen eine Uran-Zentrifuge, sondern war offenbar nur darauf aus, neue weiche Ziele ausfindig zu machen. Doch auch wenn jetzt offenbar die gesamte Infrastruktur abgebaut ist, könnte es noch immer eine neue Variante geben.
Die Hacker haben nicht nur sämtliche Server gesäubert, sondern auch geprüft, ob das Löschen sämtlicher Dateien auch erfolgreich war. Für den Betrieb der Server hatten die Hacker stets mit der Internet-Verschlüsselung OpenSSH gearbeitet und sämtliche Server auf den neuen Stand gebracht. Möglicherweise haben sie die Server über ein bisher unbekanntes Leck in OpenSSH verwendet, um die Server zu kapern.
Die Hacker arbeiteten mit CentOS, aber waren offenbar keine echten Linux-Profis. Denn auf den Servern in Vietnam und Deutschland übersahen die Hacker in ihrer Eile einige Logs der SSH- und Bash-Sitzungen auf den Servern. “Das hat uns ehrlich gesagt überrascht und es ist ein exzellentes Lehrstück über Linux und die Interna des ext3-File-Systems”, hält der Kaspersky-Forscher Vitaly Kamluk fest. Es bedeutet nicht, dass wenn man eine Datei zerstört, man auch gleichzeitig sämtliche Spuren verwischt. “Das rührt daher, dass Linux ständig die Dateien umzieht, um eine Fragmentierung zu verhindern.”
Die beiden Server scheinen zwar keine zentrale Rolle gespielt zu haben, aber der von den Hackern in Deutschland gekaperte Server wurde auf jeden Fall am 23. November 2009 zum ersten Mal genutzt. Auf die Server in Vietnam wurde im Juli und Oktober zugegriffen. Mit der gleichen Technik konnte Kaspersky auch herausfinden, dass die Hacker auf die aktuellere Version von OpenSSH von 4.3 auf 5.8 aktualisierten. Sie fanden zudem heraus, dass die Hacker auf das sshd_config Manual zugriffen und mussten die Dokumentation auf dem Linux ftp-Client bemühen. Auch mit den Befehlen für die Linux iptables hatten die Hacker offenbar Probleme.
Die Forscher haben jedoch laut eigenen Angaben erst einen Bruchteil der kompromittierten Server analysiert und hoffen auf weitere Informationen. Vorerst erbeten sich die Sicherheitsexperten aber noch Hinweise von Linux-Experten, warum jede übernommene Maschine als erstes die Version 5.8 von OpenSSH aufgespielt bekommen hat und ob es einen Zusammenhang zwischen den Updates und der Modifikation von ‘GSSAPIAuthentikation yes’ geben könnte.
Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…
Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.
View Comments
DuQu-hacker
"...Sie fanden zudem heraus, dass die Hacker auf das sshd_config Manual zugriffen und mussten die Dokumentation auf dem Linux ftp-Client bemühen...
Wer musste die ftp-Dokumentation bemühen: die Hacker oder Kaspersky??
FR