12 C&C-Server (Command and Control) für DuQu waren bekannt. Die standen unter anderem in Belgien, Indien und Deutschland. Und diese sind bereits am 20. Oktober allesamt gelöscht worden, wie ein Sicherheitsforscher des Moskauer Kaspersky Lab mitteilt. Das war zwei Tage nachdem Symantec eine Analyse des Trojaner veröffentlicht hatte und dabei auf Parallelen zu Stuxnet hingewiesen hat. Einige dieser Server jedoch waren mindestens seit dem Jahr 2009 unter der Kontrolle der Hacker.


Die Standorte der DuQu-Server. Quelle: Kaspersky

Wie auch der hochentwickelte Stuxnet-Wurm, der auf das iranische Atomprogramm zielte, soll, wie Kasperky jetzt mitteilt, auch DuQu von einer Organisation mit staatlicher Rückendeckung stammen. DuQu jedoch richtet sich nicht gegen eine Uran-Zentrifuge, sondern war offenbar nur darauf aus, neue weiche Ziele ausfindig zu machen. Doch auch wenn jetzt offenbar die gesamte Infrastruktur abgebaut ist, könnte es noch immer eine neue Variante geben.

Die Hacker haben nicht nur sämtliche Server gesäubert, sondern auch geprüft, ob das Löschen sämtlicher Dateien auch erfolgreich war. Für den Betrieb der Server hatten die Hacker stets mit der Internet-Verschlüsselung OpenSSH gearbeitet und sämtliche Server auf den neuen Stand gebracht. Möglicherweise haben sie die Server über ein bisher unbekanntes Leck in OpenSSH verwendet, um die Server zu kapern.

Die Hacker arbeiteten mit CentOS, aber waren offenbar keine echten Linux-Profis. Denn auf den Servern in Vietnam und Deutschland übersahen die Hacker in ihrer Eile einige Logs der SSH- und Bash-Sitzungen auf den Servern. “Das hat uns ehrlich gesagt überrascht und es ist ein exzellentes Lehrstück über Linux und die Interna des ext3-File-Systems”, hält der Kaspersky-Forscher Vitaly Kamluk fest. Es bedeutet nicht, dass wenn man eine Datei zerstört, man auch gleichzeitig sämtliche Spuren verwischt. “Das rührt daher, dass Linux ständig die Dateien umzieht, um eine Fragmentierung zu verhindern.”

Die beiden Server scheinen zwar keine zentrale Rolle gespielt zu haben, aber der von den Hackern in Deutschland gekaperte Server wurde auf jeden Fall am 23. November 2009 zum ersten Mal genutzt. Auf die Server in Vietnam wurde im Juli und Oktober zugegriffen. Mit der gleichen Technik konnte Kaspersky auch herausfinden, dass die Hacker auf die aktuellere Version von OpenSSH von 4.3 auf 5.8 aktualisierten. Sie fanden zudem heraus, dass die Hacker auf das sshd_config Manual zugriffen und mussten die Dokumentation auf dem Linux ftp-Client bemühen. Auch mit den Befehlen für die Linux iptables hatten die Hacker offenbar Probleme.

Die Forscher haben jedoch laut eigenen Angaben erst einen Bruchteil der kompromittierten Server analysiert und hoffen auf weitere Informationen. Vorerst erbeten sich die Sicherheitsexperten aber noch Hinweise von Linux-Experten, warum jede übernommene Maschine als erstes die Version 5.8 von OpenSSH aufgespielt bekommen hat und ob es einen Zusammenhang zwischen den Updates und der Modifikation von ‘GSSAPIAuthentikation yes’ geben könnte.

Silicon-Redaktion

View Comments

  • DuQu-hacker
    "...Sie fanden zudem heraus, dass die Hacker auf das sshd_config Manual zugriffen und mussten die Dokumentation auf dem Linux ftp-Client bemühen...

    Wer musste die ftp-Dokumentation bemühen: die Hacker oder Kaspersky??

    FR

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

1 Tag ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

1 Tag ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

3 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

4 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

5 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

5 Tagen ago