Computerwürmer

Neue Stuxnet-Variante gesichtet: Duqu späht Ziele aus

Fotolia 34684194 XSEine neue Variante des Stuxnet-Wurms wurde gesichtet und beunruhigt Experten für Computer- und Alangensicherheit gleichermaßen. Zwar handelt es sich bei der neuen Variante nicht um einen Wurm sondern vielmehr um einen Trojaner, der sich nach einer bestimmten Zeitspanne selbst löscht, um nicht erkannt zu werden.

Der Fund eines neuen Trojaners Duqu, dessen Programmierer mindestens Zugang zum Stuxnet Source-Code gehabt haben müssen, wenn sie ihn nicht selbst geschrieben haben, wurde am 14. Oktober von Symantec veröffentlicht. Obwohl dieser Schädling deutlich kleiner ist als sein großer Bruder und keinen direkten Schaden anrichtet, beunruhigt er Sicherheitsexperten noch mehr als Stuxnet. Was unterscheidet Duqu von seinem Vorgänger und welche Bedeutung haben diese Funde?

 

Der neu entdeckte Trojaner wurde von einer anonym gehaltenen Forschungseinrichtung zusammen mit einem Bericht an Symantec geschickt und nach seiner Eigenart, Dateien anzulegen, deren Namen mit "~DQ" beginnt, Duqu (gesprochen Djukju) genannt. Der eingesandte Bericht wurde von Symantec zusammen mit der eigenen Analyse veröffentlicht. Diesen Berichten zufolge ist der Code der Malware weitestgehend mit dem Stuxnet-Wurm identisch, allerdings trägt Duqu eine völlig andere Payload, die für die Beunruhigung in der Computer-Sicherheits-Szene gesorgt hat. Anstatt industrielle Steuerungssysteme zu sabotieren, sammelt dieser Trojaner Informationen aus diesem Bereich, anscheinend mit zu dem Zweck weitere Angriffe vorzubereiten, der Art, wie sie offensichtlich mit Stuxnet gegen iranische Urananreicherungsanlagen gefahren wurden.

Wie sein Vorgänger Stuxnet, arbeitet auch Duqu, im Vergleich zu herkömmlichen Computerviren, sehr gezielt. In Gegensatz zum deutschen Staatstrojaner handelt es sich bei dem gemeinsamen Code von Stuxnet und Duqu um qualitativ hochwertigste Software, deren Erstellung, nach Schätzungen von Symantec, ein Team von 5 bis 10 Entwicklern mit Insider-Wissen 6 Monate beschäftigt hat. Die Nutzlast ist eine DLL die eine HTTPS-Verbindung zum Command-and-Control-Server hergestellt und Daten als JPEG-Bild getarnt überträgt. Ein separates Infostealer-Programm, das dem Duqu-Trojaner den Namen gab, wurde anscheinend über eine solche Verbindung nachgeladen. Dieser enthält einen Keylogger, macht Bildschirmfotos und sammelt Daten über den Computer, auf dem er läuft, sowie das lokale Netzwerk.

Auch wenn die bislang gefundenen Viren der Stuxnet-Familie sehr gezielt industrielle Anlagen befallen, kann der Code nun auch von anderen Virenbauern benutzt werden. Duqu hat gezeigt, wie man den Schutz vor Malware durch signierten Code, wie ihn zum Beispiel Windows 7 verwendet, umgehen kann, indem man gestohlene Zertifikate einsetzt. Die brisanteste Konsequenz der Virenfunde von Stuxnet und Duqu ist aber der aufgezeigte Weg zur Sabotage industrieller Anlagen, sowie die Möglichkeit von "Kollateralschäden" - es wird inzwischen diskutiert, ob vielleicht auch der atomare GAU von Fukushima auf eine Stuxnet-Infektion zurückzuführen wäre. Auch wenn das nur Spekulationen sind, ist ein solches Szenario, nach Stuxnet und Duqu, erheblich wahrscheinlicher geworden.