Aktuelles, Branche - geschrieben von cp am Donnerstag, Oktober 27, 2011 22:46 - noch keine Kommentare
Stuxnet-Nachfolger Duqu attackiert Objekte im Iran und Sudan
Komplexes Spionage-Programm stiehlt laut KASPERSKY lab zielgerichtet sensible Informationen
[datensicherheit.de, 27.10.2011] KASPERSKY lab hat nach eigenen Angaben jüngst zielgerichtete Attacken des „Duqu“-Wurms im Iran und Sudan identifiziert. Das Schadprogramm ähnele in einigen Merkmalen dem gefährlichen „Stuxnet“-Wurm, der 2010 Industrieanlagen im Iran im Visier hatte. Welche Ziele genau die Cyber-Kriminellen bei „Duqu“ im Blick hätten, sei noch unbekannt. Das gefährliche Schadprogramm sei ein universelles Werkzeug, um gezielte Attacken durchzuführen. „Duqu“ könne je nach Einsatz modifiziert werden. Die ersten KASPERSKY-Analysen des Wurms hätten die folgende Erkenntnisse ergeben:
In den bisher entdeckten „Duqu“-Modifikationen seien die verwendeten Treiber verändert worden. Die manipulierten Treiber verwendeten beispielsweise eine gefälschte Signatur oder sie seien nicht signiert. Zudem sei deutlich geworden, dass weitere Komponenten von „Duqu“ wohl existierten, die aber bisher nicht vorlägen und in ihrer genauen Funktion noch unbekannt seien. Alles in allem könne der Wurm für ein vordefiniertes Ziel modifiziert werden.
Sie wüssten noch nicht, wie sich die Computer mit dem Trojaner infiziert hätten, so Tillmann Werner, „Senior Virus Analyst“ bei Kaspersky Lab. Wenn „Duqu“ aber erst einmal in den Computer eingeschleust sei, modifiziere er die Sicherheitsprogramme so, dass er nicht mehr erkannt werde und unbemerkt bleibe – die Qualität des Schadprogramms sei verblüffend hoch.
„Duqu“-Infektionen seien bisher nur wenige Male entdeckt worden, was ihn zum Beispiel von „Stuxnet“ unterscheide. Nachdem die ersten Samples des Schadprogramms aufgetaucht sind, habe KASPERSKY lab über sein Cloud-basiertes „Kaspersky Security Network“ vier neue Infektionen feststellen können – eine im Sudan und drei weitere im Iran. Bei den vier oben genannten „Duqu“-Fällen sei für die Infizierung jeweils eine speziell modifizierte Version des Treibers verwendet worden. Bei einem der Vorfälle im Iran habe KASPERSKY lab zwei versuchte Netzwerk-Attacken feststellen können, welche auf die Schwachstelle MS08-067 abzielten. Diese Schwachstelle sei unter anderen von „Stuxnet“ und von „Kido“ missbraucht worden. Die beiden Netzwerk-Attacken sollen am 4. und am 16. Oktober 2011 stattgefunden haben. Beide seien von derselben IP-Adresse ausgeführt worden, die offiziell einem US-Internet-Provider gehöre. Hätte es nur eine Netzwerk-Attacke gegeben, hätte man diese als eine typische „Kido“-Aktivität klassifizieren können. Dass es in diesem Fall gleich zwei aufeinander folgende Attacken gegeben habe, weise aber auf eine explizite Attacke auf ein iranisches Ziel hin. Es sei aber möglich, dass bei diesem Angriff noch weitere Schwachstellen ausgenutzt worden seien.
Obwohl sich die von „Duqu“ attackierten Ziele im Iran befänden, gebe es bisher keine Beweise, dass es das Schadprogramm auf iranische Industrie- und Atomanlagen abgesehen habe, so Alexander Gostev, „Chief Security Expert“ bei KASPERSKY lab. Daher könnten sie nicht bestätigen, dass „Duqu“ dasselbe Ziel wie „Stuxnet“ habe. Dennoch seien die „Duqu“-Infektionen einzigartig. Deshalb gingen sie davonaus, dass „Duqu“ für zielgerichtete und maßgeschneiderte Attacken eingesetzt werde.
Bei „Duqu“ deute Vieles darauf hin, dass die Angreifer es auf den Diebstahl von Informationen aus Unternehmen oder politischen Organisationen abgesehen hätten, denn sie hätten bei „Duqu“ keine destruktiven Eigenschaften entdeckt. „Duqu“ sei noch komplexer als „Stuxnet“. Sie nähmen zudem an, dass er aus derselben Quelle wie „Stuxnet“ stamme. Wer auch immer so ein Schadprogramm entwickelt, verfüge über viel Geld, Zeit und Wissen…
Weitere Informationen zum Thema:
SECURELIST, 25.10.2011
Alexander Gostev / The Mystery of Duqu: Part Two
SECURELIST, 20.10.2011
Alexander Gostev / The Mystery of Duqu: Part One
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 23, 2024 11:35 - noch keine Kommentare
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
weitere Beiträge in Branche
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren