ComputerClub 2
Sitemap Kontakt
  Wolfgang Back & Wolfgang Rudolph
Suche:   Wolfgang Back & Wolfgang Rudolph
  Aktuelle Sendung
  Nächste Sendung
  Sendungsarchiv
  Downloads


SENDUNGSARCHIV

19.12.2011
Folge 301

Duqu - der Industriewurm

Duqu heißt der Nachfolger von Stuxnet. Vor mehr als einem Jahr hat der Computerwurm "Stuxnet" auf sich aufmerksam gemacht. Mit dem Angriff auf die Steuerung von Industrieanlagen wurde erstmals auch einer breiteren Öffentlichkeit bewusst, dass Cybercrime nicht länger ein IT-internes Thema ist, sondern alle Bereiche von Wirtschaft und Gesellschaft betrifft.  


Heinz Schmitz über den äußerst komplexen Stuxnet Nachfolger Duqu, der es anscheinend auf Industrieanlagen abgesehen hat.

Die Angreifer hinter Duqu nutzen eine bisher unbekannte Zero-Day-Schwachstelle in Microsoft Word, um Rechner in den Zielunternehmen zu infizieren. Damit konnte Symantec die bislang unbekannte Installationsroutine aufdecken.

Duqu breitet sich im infizierten Netzwerk aus, er kommuniziert mit verseuchten Rechnern über Peer-to-Peer-Methoden, selbst wenn die Systeme nicht mit dem Internet verbunden sind. Außerdem fanden die Symantec-Experten eine Duqu-Variante, die über einen zweiten Command- & Control-Server (C&C) kommuniziert.

Das Kaspersky Lab identifiziert zielgerichtete Attacken des Duqu-Wurms im Iran und Sudan. Das Schadprogramm ähnelt in einigen Merkmalen dem gefährlichen Stuxnet-Wurm, der im vergangenen Jahr Industrieanlagen im Iran im Visier hatte. Duqu nutzt offensichtlich Teile des Stuxnet-Codes. Duqu ist allerdings noch komplexer als Stuxnet. Experten nehmen zudem an, dass er aus derselben Quelle wie Stuxnet stammt. Wer auch immer so ein Schadprogramm entwickelt, verfügt über viel Geld, Zeit und Wissen."

Welche Ziele genau die Cyberkriminellen bei Duqu im Blick haben, ist noch unbekannt. Das gefährliche Schadprogramm ist ein universelles Werkzeug, um gezielte Attacken durchzuführen. Duqu kann je nach Einsatz modifiziert werden.
Die ersten Analysen des Wurms haben die folgende Erkenntnisse ergeben: In den bisher entdeckten Duqu-Modifikationen wurden die verwendeten Treiber verändert. Die manipulierten Treiber verwenden beispielsweise eine gefälschte Signatur oder sie sind nicht signiert. Zudem wurde deutlich, dass weitere Komponenten von Duqu wohl existieren, die aber bisher nicht vorliegen und in ihrer genauen Funktion noch unbekannt sind. Alles in allem kann der Wurm für ein vordefiniertes Ziel modifiziert werden. Wenn Duqu aber erst einmal in den Computer eingeschleust ist, modifiziert er die Sicherheitsprogramme so, dass er nicht mehr erkannt wird und unbemerkt bleibt. Die Qualität des Schadprogramms ist verblüffend hoch.

Duqu-Infektionen wurden bisher nur wenige Male entdeckt, was ihn zum Beispiel von Stuxnet unterscheidet. Nachdem die ersten Samples des Schadprogramms aufgetaucht sind, konnten Experten des Kaspersky Lab vier neue Infektionen feststellen, eine im Sudan und drei weitere im Iran. Bei den vier Fällen wurde für die Infizierung jeweils eine speziell modifizierte Version des Treibers verwendet. Bei einem der Vorfälle im Iran konnten zwei versuchte Netzwerk-Attacken feststellt werden, welche auf die Schwachstelle MS08-067 abzielten. Diese Schwachstelle wurde unter anderen von Stuxnet und von Kido missbraucht. Die beiden Netzwerk-Attacken fanden am 4. und am 16. Oktober 2011 statt. Beide wurden von derselben IP-Adresse ausgeführt, die offiziell einem US-Internet-Provider gehört. Hätte es nur eine Netzwerk-Attacke gegeben, hätte man diese als eine typische Kido-Aktivität klassifizieren können. Dass es in diesem Fall gleich zwei aufeinander folgende Attacken gab, weist aber auf eine explizite Attacke auf ein iranisches Ziel hin. Es ist aber möglich, dass bei diesem Angriff noch weitere Schwachstellen ausgenutzt wurden.

Seit dem Auftreten  von Stuxnet ist zur Abwehr von Cybercrime allerdings nicht viel passiert. Insbesondere fehlen strategische Antworten, die über die Reaktion auf aktuelle Angriffe hinausgehen. Stuxnet und Duqu machen anschaulich, wie sehr sich Cybercrime in den letzten Jahren gewandelt hat. Die Angriffe auf die Sicherheit und Integrität von IT-Systemen werden heute von professionell operierenden Organisationen auf internationaler Ebene vorbereitet und durchgeführt. Sie erfolgen auf höchstem technischem Niveau, mit großem Know-how und zum Teil auch mit enormem Aufwand. Ziel sind in den meisten Fällen unrechtmäßige wirtschaftliche Vorteile, also Betrug, in spektakulären Ausnahmefällen auch Sabotage oder politische Einflussnahme. Selbst Unternehmen und staatliche Einrichtungen, die eigene Sicherheitsabteilungen unterhalten, haben solchen Angriffen kaum etwas entgegenzusetzen.

Die Abwehr besteht in der Regel darin, auf die nächste Attacke der Malware-Industrie zu warten, um anschließend mit Warnungen und spezialisierten Tools dagegen vorzugehen. Angesichts einer "strategischen" Bedrohung müssen aber auch strategische Antworten gefunden werden, also solche, die sich nicht mit der Lösung von Einzelfällen begnügen.


zurück zum Archiv
Anhören:


Audiodatstream
Download 128 Kbit/s (~27 MB)
Download 32 Kbit/s (~7 MB)
Ogg Vorbis 56 Kbit/s (~12 MB)
RSS Feed (Audiocast, letzte 5 Sendungen)
RSS Feed (Audiocast, alle Sendungen)

Druckversion Impressum Haftungsausschluss