Komplex und perfekt
Experten: "Kleiner Bruder" von Stuxnet in Europa aufgetaucht
19. Oktober 2011 11:54
"Wir wissen bisher nicht, worauf genau sie es abgesehen haben."
Auf Computern in Europa ist laut Experten eine Art "kleiner Bruder" des
berüchtigten Computerwurms Stuxnet entdeckt worden. Die neue Software
namens "Duqu" ist ein Trojaner, der gezielt Unternehmen wie Entwickler
von Industrieanlagen ausspähen soll, berichtete die IT-Sicherheitsfirma
Symantec in der Nacht zum Mittwoch. Das Alarmierende: Duqu enthalte
Teile des Software-Codes von Stuxnet, des berüchtigten Virusprogramms,
mit dem wahrscheinlich das iranische Atomprogramm sabotiert wurde.
Komplex und perfekt
Stuxnet war so komplex und perfekt, dass Experten westliche
Geheimdienste als Urheber vermuten. Das im Sommer vergangenen Jahres
entdeckte Programm war zwar darauf getrimmt, Zentrifugen zur
Uran-Anreicherung durcheinanderzubringen. Es konnte im Prinzip aber auf
jegliche Art von Industrieanlagen abgerichtet werden.
"Wer auch immer diesen Schädling programmiert hat, hatte wahrscheinlich
Zugang zum Original-Quellcode von Stuxnet"
Duqu griff ersten Analysen zufolge zwar nur auf Hilfskomponenten von
Stuxnet zurück. Aber: "Wer auch immer diesen Schädling programmiert hat,
hatte wahrscheinlich Zugang zum Original-Quellcode von Stuxnet",
urteilte auch die IT-Sicherheitsfirma Sophos. Vor allem die Methoden zum
Herunterladen weiterer Spionage-Software wiesen Ähnlichkeiten auf. Damit
sei dann zum Beispiel ein sogenannter Keylogger nachgerüstet worden, der
alle Tastatur-Anschläge aufzeichnete. Wer und wofür genau die Software
entwickelt hat, bleibt erst einmal unklar.
"Wir wissen bisher nicht, worauf genau sie es abgesehen haben."
"Duqu ist im Grunde der Vorbote einer zukünftigen Stuxnet-artigen
Attacke", schrieben Experten von Symantec in ihrer Analyse. Der Trojaner
sammle Daten von Computern und übermittle sie an seine Entwickler. Duqu
sei auf Computern von sieben oder acht europäischen Unternehmen gefunden
worden, die an der Entwicklung von Industrieanlagen-Software beteiligt
seien, sagte ein Symantec-Analyst dem Online-Dienst CNET. Die Software
sei so programmiert, dass sie sich nach 36 Tagen automatisch von den
Rechnern entfernt. "Wir wissen bisher nicht, worauf genau sie es
abgesehen haben." Die erste bekannte Attacke dürfte bereits auf Dezember
2010 zurückgehen, die frischeste Variante stamme vom 17. Oktober.
Das Programm öffne dem Angreifer eine Art Hintertür im Computer,
erläuterte Thorsten Urbanski vom deutschen
Sicherheitssoftware-Spezialisten G Data. "Es sammelt Informationen, um
danach einen gezielten Angriff zu fahren." Duqu falle Windows-Systeme
ohne Einschränkung an. Die Verfallsfrist von 36 Tagen weise darauf hin,
dass die Attacke gar nicht erst entdeckt werden sollte. "Das
Industrieunternehmen soll ja gar nicht merken, dass es angegriffen
wurde."
Kein Wurm
Den Namen Duqu bekam die Software, weil sie Dateien mit dem Namensteil
"DQ" anlegt. Im Gegensatz zu Stuxnet ist sie kein sogenannter Wurm, der
sich selbst an immer mehr Rechner verbreitet, sondern wurde direkt auf
die infizierten Computer aufgespielt. Möglicherweise dadurch, dass ein
ahnungsloser Mitarbeiter einen E-Mail-Anhang geöffnet habe, mutmaßt
Symantec. Die Software sei von einem IT-Sicherheitslabor entdeckt
worden, das anonym bleiben wolle - damit man nicht auf die Namen der
betroffenen Unternehmen schließen könne.
Die IT-Sicherheitsfirma McAfee kam zu dem Schluss, dass mit Duqu auch
Unternehmen angegriffen werden konnten, die digitale Zertifikate zur
Autorisierung von Websites und Software ausgeben. Mit geklauten
Zertifikaten kann man sich im Netz für jemand anderen ausgeben oder
gefährliche Programme legal wirken lassen. (APA/dpa)