"Hoch spezialisiert"

Neue Programmier-Sprache in Duqu-Trojaner entdeckt

(Bild: Screenshot Kaspersky)

Experten des Sicherheitsanbieters Kaspersky sind im Code des Trojaners Duqu auf eine bislang unbekannte Programmiersprache gestoßen. Laut Alexander Gostev, Chef-Sicherheitsexperte bei Kaspersky Lab, zeigt die Erstellung einer eigenen Programmiersprache, wie professionell die Entwickler waren und dass signifikante finanzielle und labortechnische Ressourcen bei diesem Projekt zur Verfügung standen.

Der sehr anspruchsvolle Trojaner Duqu stammt aus derselben Programmierfeder wie der berühmt-berüchtigte Stuxnet-Wurm. Seine Hauptaufgabe besteht darin, eine sogenannte Backdoor, also eine Hintertür, in ein System einzuschleusen und damit den Diebstahl sensibler Informationen zu ermöglichen. Vermutet wird, dass der Schädling von den USA und Israel entwickelt wurde, um das iranische Atomprogramm zu sabotieren.

Duqu selbst wurde erstmals im September 2011 entdeckt, jedoch registrierte Kaspersky Lab schon im August 2007 Malware, von der mittlerweile bekannt ist, dass sie eindeutig mit diesem Trojaner in Zusammenhang steht. Duqu wird von den Experten des Sicherheitsanbieters mit über einem Dutzend Vorfällen, zumeist mit Opfern im Iran, in Zusammenhang gebracht. Dabei lagen seine Hauptangriffsziele im Stehlen von Informationen zu industriellen Kontrollsystemen.

"Hoch spezialisierte Programmiersprache"
Die Fachwelt stellte Duqu vor ein Rätsel, weil der Trojaner mit seinem sogenannten Command-and-Control-Server kommuniziert, sobald er eine Opfermaschine infiziert hat. Die Experten konnten nun aufdecken, dass dieser für die Kommunikation zuständige Teil des Trojaners in einer bislang unbekannten, hoch spezialisierten Programmiersprache verfasst wurde, von Kaspersky als "Duqu Framework" bezeichnet. Im Gegensatz zu allen anderen Bereichen sei dieses Duqu-Framework nicht in der bekannten Programmiersprache C++ geschrieben und auch nicht mit Visual C++ 2008 von Microsoft kompiliert worden, so der Sicherheitsanbieter in einem Blog.

Mehrere Teams an Erstellung beteiligt
Gemessen an der Größe des Duqu-Projekts könnte ein komplett eigenes Team für die Erstellung des Duqu-Frameworks verantwortlich gewesen sein, erläutert Gostev, während andere Teams etwa entsprechende Treiber erstellt hätten. "Die außergewöhnlich hohe Anpassung und Exklusivität, mit der die Programmiersprache entwickelt wurde, deutet darauf hin, dass man nicht nur die Spionageoperationen und die Interaktion mit den Kontrollservern für Außenstehende verschleiern, sondern auch andere interne Duqu-Teams separieren wollte, die für das Schreiben von zusätzlichen Teilen des Schadprogramms verantwortlich waren."

Kaspersky Lab ruft Programmierer nun dazu auf, die Security-Experten über per E-Mail zu informieren, sollten sie das Framework oder die Programmiersprache kennen, mit denen ähnliche Code-Konstruktionen erstellt werden können.