Experten warnen

“Kleiner Bruder” von Stuxnet in Europa aufgetaucht

Web
19.10.2011 12:46
Auf "Stuxnet" folgt "Duqu": Die Sicherheitsexperten von Symantec haben auf europäischen Computern eine Art "kleiner Bruder" des berüchtigten Computerwurms entdeckt. Die neue Software sei ein Trojaner, der gezielt Unternehmen wie Entwickler von Industrieanlagen ausspähe, berichtete die IT-Sicherheitsfirma in der Nacht auf Mittwoch. Das Alarmierende: Duqu enthalte Teile des Software-Codes von Stuxnet, mit dem wahrscheinlich das iranische Atomprogramm sabotiert wurde.

Stuxnet (siehe Infobox) war so komplex und perfekt, dass Experten westliche Geheimdienste als Urheber vermuten. Das im Sommer vergangenen Jahres entdeckte Programm war zwar darauf getrimmt, Zentrifugen zur Uran-Anreicherung durcheinanderzubringen. Es konnte im Prinzip aber auf jegliche Art von Industrieanlagen abgerichtet werden. 

Duqu griff ersten Analysen zufolge zwar nur auf Hilfskomponenten von Stuxnet zurück. Aber: "Wer auch immer diesen Schädling programmiert hat, hatte wahrscheinlich Zugang zum Original-Quellcode von Stuxnet", urteilte auch die IT-Sicherheitsfirma Sophos. Vor allem die Methoden zum Herunterladen weiterer Spionage-Software wiesen Ähnlichkeiten auf. Damit sei dann zum Beispiel ein sogenannter Keylogger nachgerüstet worden, der alle Tastatur-Anschläge aufzeichnete.

Vorbote künftiger Attacken
"Duqu ist im Grunde der Vorbote einer zukünftigen Stuxnet-artigen Attacke", schrieben Experten von Symantec in ihrer Analyse. Der Trojaner sammle Daten von Computern und übermittle sie an seine Entwickler. Duqu sei auf Computern von sieben oder acht europäischen Unternehmen gefunden worden, die an der Entwicklung von Industrieanlagen-Software beteiligt seien, sagte ein Symantec-Analyst dem Online-Dienst "CNet". 

Trojaner löscht sich nach 36 Tagen selbst
Die Software sei so programmiert, dass sie sich nach 36 Tagen automatisch von den Rechnern entfernt. "Wir wissen bisher nicht, worauf genau sie es abgesehen haben." Die erste bekannte Attacke dürfte bereits auf den Dezember 2010 zurückgehen, die frischeste Variante stamme vom 17. Oktober.

Das Programm öffne dem Angreifer eine Art Hintertür im Computer, erläuterte Thorsten Urbanski vom deutschen Sicherheitssoftware-Spezialisten G Data. "Es sammelt Informationen, um danach einen gezielten Angriff zu fahren." Duqu falle Windows-Systeme ohne Einschränkung an. Die Verfallsfrist von 36 Tagen weise darauf hin, dass die Attacke gar nicht erst entdeckt werden solle. "Das Industrieunternehmen soll ja gar nicht merken, dass es angegriffen wurde."

Möglicherweise über E-Mail-Anhang eingeschleust
Den Namen Duqu bekam die Software, weil sie Dateien mit dem Namensteil "DQ" anlegt. Im Gegensatz zu Stuxnet ist sie kein sogenannter Wurm, der sich selbst an immer mehr Rechner verbreitet, sondern wurde direkt auf die infizierten Computer aufgespielt. Möglicherweise dadurch, dass ein ahnungsloser Mitarbeiter einen E-Mail-Anhang geöffnet habe, mutmaßt Symantec. Die Software sei von einem IT-Sicherheitslabor entdeckt worden, das anonym bleiben wolle - damit man nicht auf die Namen der betroffenen Unternehmen schließen könne.

Der Sicherheitsanbieter McAfee kommt zu dem Schluss, dass mit Duqu auch Unternehmen angegriffen werden könnten, die digitale Zertifikate zur Autorisierung von Websites und Software ausgeben. Mit geklauten Zertifikaten kann man sich im Netz für jemand anderen ausgeben oder gefährliche Programme legal wirken lassen.

Loading...
00:00 / 00:00
Abspielen
Schließen
Aufklappen
Loading...
Vorige 10 Sekunden
Zum Vorigen Wechseln
Abspielen
Zum Nächsten Wechseln
Nächste 10 Sekunden
00:00
00:00
1.0x Geschwindigkeit
Loading
Kommentare

Da dieser Artikel älter als 18 Monate ist, ist zum jetzigen Zeitpunkt kein Kommentieren mehr möglich.

Wir laden Sie ein, bei einer aktuelleren themenrelevanten Story mitzudiskutieren: Themenübersicht.

Bei Fragen können Sie sich gern an das Community-Team per Mail an forum@krone.at wenden.



Kostenlose Spiele
Vorteilswelt