Drucken
19.10.2011, 15:54 Uhr | Sascha Plischke
Stuxnet-Nachfolger erschreckt Sicherheits-Profis. (Quelle: imago)
Sicherheitsexperten melden eine besorgniserregende Entdeckung: eine neue Schadsoftware, die offenbar von den selben Autoren stammt wie der berüchtigte Stuxnet-Trojaner. Dieser hatte im vergangenen Jahr für weltweites Aufsehen gesorgt, weil er gezielt die Systeme iranischer Nuklear-Anlagen infizierte und das Atomprogramm des Landes sabotierte. Die auf den Namen Duqu getaufte Malware basiert in Teilen auf dem Code des gefährlichen Vorgängers und ist wie Stuxnet auch erschreckend effektiv. Bisher beschränkt sich die Malware auf simple Spionage. Das werten die Experten jedoch als Vorbereitung für eine neue, Aufsehen erregende Attacke.
Ein Ziel dieser möglichen Attacke ist bisher nicht bekannt. Die Experten des US-Sicherheitsdienstleisters Symantec bleiben in ihrem 60-seitigen Bericht zum Auftauchen von Duqu absichtlich vage. Bisher ist nur bekannt, dass Duqu bisher vor allem Informationen sammelt und zu diesem Zweck die Computer-Systeme verschiedener Unternehmen infiltriert hat. Dabei soll es sich um Hersteller von Software für Industrieanlagen handeln.
Die Art der gestohlenen Daten lasse die Absicht der Urheber erkennen, so der Symantec-Bericht: "Die Angreifer suchen nach Informationen wie zum Beispiel Entwurfsunterlagen, die ihnen bei zukünftigen Angriffen auf industrielle Kontroll-Einrichtungen helfen könnten". Solche Kontrollanlagen kommen bei jeder Art von industriellen Herstellungsprozessen zum Einsatz – von der Steuerung einer Abfüllanlage bis hin zur Koordination einer Produktionsstraße in Rüstungsbetrieben.
Ob Duqu damit einen Angriff vorbereitet, wie ihn Stuxnet im Jahr 2010 ausgeführt hat, ist zur Stunde noch unklar. Stuxnet hatte damals zehntausende Computer-Systeme in 155 Ländern infiziert, darunter auch Computeranlagen in deutschen Kernkraftwerken. Sein eigentliches Ziel war jedoch die iranische Anlage zur Anreicherung von Uran in Natanz. Stuxnet war speziell geschrieben worden, um in dieser Anlage verwendete Siemens-Rechner zu infizieren und durch falsche Steuerungsbefehle daran angeschlossene Zentrifugen zur Urananreicherung zu beschädigen. Alle anderen Infektionen im Rest der Welt waren Kollateralschäden und blieben harmlos. Experten vermuteten damals hinter Stuxnet eine Kooperation israelischer und amerikanischer Geheimdienste, denen das iranische Atomprogramm ein Dorn im Auge ist.
Die Experten zeigten sich verblüfft angesichts der technischen Reife der neuen Schadsoftware, insbesondere im Vergleich mit den Werkzeugen einfacher Online-Krimineller. Duqus Infiltrationsmethoden sind so effektiv, dass er sehr lange unentdeckt operieren konnte. Symantec will jetzt die Spuren erster Spionageangriffe aus dem Dezember 2010 entdeckt haben. Duqu nutzt zur Tarnung ein gestohlenes Software-Zertifikat für Kerneltreiber, wodurch er zuverlässig bei jedem Systemstart ausgeführt wurde. Wie die Schnüffelsoftware auf den PC gelangen konnte, ist bislang noch nicht bekannt. Nach der erfolgreichen Infiltration spioniert Duqu 36 Tage lang, dann löscht sich das Programm selbst und verwischt so seine Spuren.
Selbst bei flotten DSL-Anschlüssen gibt es oft noch etwas zu optimieren. So drehen Sie an der Performance-Schraube. zum Video
Besonders erstaunlich ist die Art, in der Duqu seine Kommunikation mit seinen Urhebern tarnt. Denn gerade die Kommunikation mit seinen Steuerungs- und Kommandoservern ist es oft, die einen getarnten Trojaner auffliegen lässt. Duqu versteckt die von ihm erbeuteten Informationen in Bilddateien, die er dann als JPEG an seine Auftraggeber verschickt. Die können die Beute dann wieder aus den Bildern herausfiltern und auswerten. Das Verfahren, Informationen in Bilddateien unsichtbar zu verstecken, nennt sich Steganografie und gilt seit einiger Zeit als hervorragendes Mittel, um sensible Daten unbemerkt austauschen zu können. Neben Screenshots vom Bildschirm und Tastatureingaben sammelt und versendet Duqu über diesen Weg auch Informationen über laufende Prozesse und Netzwerkfreigaben.
Bisher sind die Aktivitäten von Duqu noch sehr begrenzt. Etwa sieben bis acht Unternehmen soll die Malware bereits ausspioniert haben. Außerdem ist Duqu etwa 300 Kilobyte kleiner als Stuxnet, was die Experten als Zeichen dafür sehen, dass dem effektiven Spion die Angriffswerkzeuge von Stuxnet fehlen. Grund zur Entwarnung ist das jedoch nicht: Die Angriffsroutinen von Stuxnet waren speziell auf die Siemens-Computer in Natanz zugeschnitten. Duqu sucht derzeit noch nach Informationen über sein unbekanntes Angriffsziel – seine Waffen müssen also erst noch geschmiedet werden.
Jetzt mit dem brandneuen Economy-Modus. Dieser erhöht die Akku- laufzeit von Notebooks, Netbooks und Tablets um bis zu 30 Prozent. zum Angebot
Sascha Plischke
(7)
Peter schrieb:
am 31. Oktober 2011 um 22:01:56
(0) 
(0)
Warnung: Falsch ist die Aussage des Artikels bei 300 KB kann der nicht viel
Die Aussage des Artikels "bei der geringen Grösse von 300 KB
fehlen dem xyz" ist grundlegend falsch. Ich komme aus einer Zeit, in der Grossrechner 1.5 MB bzw. schnelle 4 MB hatten. In dieser Zeit war es üblich(!) mit 300 KB sehr gute Software zu schreiben, später auch in DOS. Wenn der mit DIESER Haltung entwickelt wurde, wirklich "auf Leistung" (und nicht zig DLLS dazu geladen) dann kann in 300 KB sehr, sehr viel drin sein - kann, nicht muss.
mehr
Kommentar melden
Personal der BRD GmbH schrieb:
am 23. Oktober 2011 um 02:18:23
(2) (1)
Da gibts etwas das Ihr nicht wissen könnt
Alles wird überwacht - Kein Wissender darf je darüber Reden - Viele werden Ferngelenkt - Und Ihr
werdet es nie Raffen - Und wenn doch habt Ihr Angst das man euch nachsagt Ihr habt eine Gespaltene Persöhnlichkeit & miemt den Ahnungslosen-Duckmäuser - das nennt Ihr eure Freiheit ? - Das geht schon über 40 Jahre gegen das Volk - was geht mit euch ab ? - Wo sind eure Sinne ???
mehr
Kommentar melden
siggi schrieb:
am 20. Oktober 2011 um 13:14:09
(1) (0)
Einbruch und Betrug im Internet.
Nicht zu glauben das so was möglich ist,dass es Hacker gibt die Unentdeckt bleiben und sich einfach im
Internet bewegen können wie sie wollen.
Es wird an der Zeit das sich jeder Identifizieren muss wenn er ins Internet geht.
Diese Attacken im Internet werden ja immer schlimmer und die Schäden sind kaum noch zu übersehen.
mehr
Kommentar melden
Bitte füllen Sie alle Felder aus.
Sie sind der Meinung, dass dieser Kommentar anstößige Inhalte enthält.
Sichern Sie sich jetzt bis zu 30% auf die neue Frühlingskollektion.
bei Charles-Voegele.de
Jetzt SIM-Karte sichern, 40,- € Start-
guthaben kassieren & Handyruf- nummer mitnehmen. von blau.de
Testsieger-Patronen für Marken-
drucker im TÜV-geprüften Online-
Shop kaufen. von druckerzubehoer
Riesenauswahl an Schuhen und Kleidern von Top-Marken - Versand und Rückversand kostenlos. mehr
Internet Explorer 9: Flotter Seiten- aufbau bei voller Sicherheit. mehr
