Mittwoch, 19. Oktober 2011
Stuxnet-Bruder in Europa
Neuer Trojaner greift Firmen an
Sicherheitsexperten warnen vor einem neuen Trojaner, der
Industriespionage betreibt. Er ist mit dem berüchtigten Stuxnet-Virus
verwandt, der besonders raffiniert gebaut ist und vermutlich von
Geheimdiensten in Auftrag gegeben wurde. Duqu ist möglicherweise auf den
Raub von digitalen Zertifikaten spezialisiert.
Auf Computern in Europa ist laut Experten eine Art "kleiner Bruder" des
berüchtigten Computerwurms Stuxnet entdeckt worden. Die neue Software,
die den Namen "Duqu" bekam, ist ein Trojaner, der Entwickler von
Industrieanlagen ausspähen sollte, berichtet die IT-Sicherheitsfirma
Symantec. Den Namen bekam die Software, weil sie Dateien mit dem
Namensteil "~DQ" anlegt.
Computer-Schädlinge sind für Unternehmen eine große Bedrohung.
Das Alarmierende: Duqu enthält Teile des Software-Codes von Stuxnet, des
berüchtigten Virusprogramms, das wahrscheinlich das iranische
Atomprogramm sabotieren sollte. Laut "Cyber War Zone" wurden Stuxnet und
Duqu vermutlich von dem- oder denselben Autoren geschrieben, da beide
Schädlinge den gleichen Source Code haben.
Stuxnet ist so komplex und perfekt, dass Experten mehrere Geheimdienste
dahinter vermuten. Das im Sommer vergangenen Jahres entdeckte Programm
war zwar darauf getrimmt, Zentrifugen zur Uran-Anreicherung
durcheinanderzubringen. Es konnte im Prinzip aber auf jegliche Art von
Industrieanlagen abgerichtet werden.
Duqu ist kein Saboteur
Duqu sei im Grunde der Vorbote einer zukünftigen Stuxnet-artigen
Attacke", heißt es in der Symantec-Analyse. Wobei sich Duqu laut "Cyber
War Zone" von Stuxnet in einem wichtigen Punkt unterscheidet. Während
Stuxnet ein Saboteur ist, sammelt Duqu Daten von Computern und
übermittelt sie an seine Entwickler.
Duqu sei auf Computern von sieben oder acht europäischen Unternehmen
gefunden worden, die an der Entwicklung von Kontrollsystemen beteiligt
seien, sagte ein Symantec-Analyst dem Online-Dienst "CNET". Die Software
sei so programmiert, dass sie sich nach 36 Tagen automatisch von den
Rechnern entfernt. "Wir wissen bisher nicht, wonach genau sie es
abgesehen haben." Die erste Attacke dürfte bereits auf Dezember 2010
zurückgehen.
Auf Zertifikate spezialisiert?
Die IT-Sicherheitsfirma McAfee kommt zu dem Schluss, dass Duqu auf
Unternehmen spezialisiert ist, die digitale Zertifikate zur
Autorisierung von Websites und Software ausgeben. Mit geklauten
Zertifikaten kann man sich im Netz für jemand anderen ausgeben oder
gefährliche Programme legal wirken lassen.
Ende August wurde bekannt, dass bei der niederländischen
Internet-Sicherheitsfirma DigiNotar Zertifikate entwendet wurden, mit
denen unter anderem iranische Google-Nutzer ausspioniert wurden. Einen
Zusammenhang zu dem Angriff wollte allerdings keiner der
Sicherheitsexperten herstellen.