Aktuelles, Branche - Donnerstag, Oktober 27, 2011 22:46 - noch keine Kommentare

Stuxnet-Nachfolger Duqu attackiert Objekte im Iran und Sudan

Komplexes Spionage-Programm stiehlt laut KASPERSKY lab zielgerichtet sensible Informationen

[datensicherheit.de, 27.10.2011] KASPERSKY lab hat nach eigenen Angaben jüngst zielgerichtete Attacken des „Duqu“-Wurms im Iran und Sudan identifiziert. Das Schadprogramm ähnele in einigen Merkmalen dem gefährlichen „Stuxnet“-Wurm, der 2010 Industrieanlagen im Iran im Visier hatte. Welche Ziele genau die Cyber-Kriminellen bei „Duqu“ im Blick hätten, sei noch unbekannt. Das gefährliche Schadprogramm sei ein universelles Werkzeug, um gezielte Attacken durchzuführen. „Duqu“ könne je nach Einsatz modifiziert werden. Die ersten KASPERSKY-Analysen des Wurms hätten die folgende Erkenntnisse ergeben:
In den bisher entdeckten „Duqu“-Modifikationen seien die verwendeten Treiber verändert worden. Die manipulierten Treiber verwendeten beispielsweise eine gefälschte Signatur oder sie seien nicht signiert. Zudem sei deutlich geworden, dass weitere Komponenten von „Duqu“ wohl existierten, die aber bisher nicht vorlägen und in ihrer genauen Funktion noch unbekannt seien. Alles in allem könne der Wurm für ein vordefiniertes Ziel modifiziert werden.
Sie wüssten noch nicht, wie sich die Computer mit dem Trojaner infiziert hätten, so Tillmann Werner, „Senior Virus Analyst“ bei Kaspersky Lab. Wenn „Duqu“ aber erst einmal in den Computer eingeschleust sei, modifiziere er die Sicherheitsprogramme so, dass er nicht mehr erkannt werde und unbemerkt bleibe – die Qualität des Schadprogramms sei verblüffend hoch.
„Duqu“-Infektionen seien bisher nur wenige Male entdeckt worden, was ihn zum Beispiel von „Stuxnet“ unterscheide. Nachdem die ersten Samples des Schadprogramms aufgetaucht sind, habe KASPERSKY lab über sein Cloud-basiertes „Kaspersky Security Network“ vier neue Infektionen feststellen können – eine im Sudan und drei weitere im Iran. weiterlesen…