Duqu-Trojaner: KASPERSKY-Mitarbeiter entdecken bislang unbekannte Programmiersprache

Selbe Urheber wie beim berühmt-berüchtigten „Stuxnet“-Wurm vermutet

[datensicherheit.de, 10.03.2012] Experten von KASPERSKY lab haben nach eigenen Angaben aufgedeckt, dass Teile des Trojaners „Duqu“ in einer bislang unbekannten Programmiersprache geschrieben wurden:
Der sehr anspruchsvolle Trojaner „Duqu“ stamme demnach aus derselben Programmierfeder, wie der berühmt-berüchtigte „Stuxnet“-Wurm. Seine Hauptaufgabe bestehe darin, eine „Backdoor“ in ein System einzuschleusen und damit den Diebstahl sensibler Informationen zu ermöglichen. „Duqu“ selbst sei erstmals im September 2011 entdeckt worden, jedoch habe KASPERSKY lab schon im August 2007 Malware registriert, von der mittlerweile bekannt sei, dass sie eindeutig mit diesem Trojaner in Zusammenhang stehe. „Duqu“ wird von den KASPERSKY-Mitarbeitern mit über einem Dutzend Vorfällen, zumeist mit Opfern im Iran, in Zusammenhang gebracht. Dabei hätten seine Hauptangriffsziele im Stehlen von Informationen zu industriellen Kontrollsystemen gelegen.
„Duqu“ habe die Fachwelt vor ein Rätsel gestellt, denn der Trojaner habe nach Infektion mit einer Opfermaschine mit seinem „Command-and-Control-Server“ (C&C) kommuniziert. Das für die Interaktion mit dem C&C verantwortliche Modul von „Duqu“ sei Teil seiner „Payload-DLL“. KASPERSKY-Experten hätten nun nach deren eingehender Analyse feststellen können, dass der Kommunikationsteil in einer bislang unbekannten Programmiersprache verfasst sei.
Sie nannten diesen unbekannten Bereich „Duqu Framework“. Im Gegensatz zu allen anderen Bereichen sei dieses nicht in „C++“ geschrieben und nicht mit „Visual C++ 2008“ von Microsoft kompiliert worden. Es sei möglich, dass die Autoren ein selbst erstelltes Framework genutzt hätten, um einen dazwischenliegenden „C“-Code zu generieren oder sie hätten eine komplett andere Programmiersprache genutzt. Die KASPERSKY-Analysen hätten jedenfalls ergeben, dass die Sprache objektorientiert sei und mit einem eigenen Set an relevanten Aktivitäten arbeite, die für Netzwerkapplikationen geeignet seien. Die Sprache im „Duqu-Framework“ sei hoch spezialisiert.
Gemessen an der Größe des „Duqu“-Projekts könnte ein komplett eigenes Team für die Erstellung des „Duqu-Frameworks“ sowie dedizierte Teams für die Erstellung der Treiber und der Systeminfektions-Exploits verantwortlich gewesen sein, sagt Alexander Gostev, „Chief Security Expert“ bei KASPERSKY lab. Die außergewöhnlich hohe Anpassung und Exklusivität, mit der die Programmiersprache entwickelt worden sei, deute darauf hin, dass man nicht nur die Spionageoperationen und die Interaktion mit den C&Cs für Außenstehende verschleiern, sondern auch andere interne „Duqu“-Teams habe separieren wollen, die für das Schreiben von zusätzlichen Teilen des Schadprogramms verantwortlich gewesen seien.
Laut Gostev zeigt die Erstellung einer eigenen Programmiersprache, wie professionell die Entwickler waren und dass signifikante finanzielle und labortechnische Ressourcen bei diesem Projekt zur Verfügung standen.
KASPERSKY lab ruft nun Programmierer dazu auf, die Security-Experten per E-Mail über stopduqu [at] kaspersky [dot] com zu informieren, wenn sie das Framework, Toolkit oder die Programmiersprache erkennen, mit denen ähnliche Code-Konstruktionen erstellt werden können.

Weitere Informationen zum Thema:

SECURELIST, 07.03.2012
Igor Soumenkov, Kaspersky Lab Expert / The Mystery of the Duqu Framework (Vollständige Version der Analyse des Duqu-Framworks)