Sicherheit
Vorbote von Stuxnet 2.0 entdeckt
von
Thorsten
Eggeling - 20.10.2011
Experten von Symantec haben einen neuen Wurm entdeckt, der allem Anschein nach mit dem Sabotage-Programm Stuxnet verwandt ist. Bisher dient er nur zur Spionage, könnte aber Vorbote eines deutlich aggressiveren Stutnex 2.0 sein.
Antiviren-Experten von Symantec schlagen Alarm. Ihnen wurde ein Spionageprogramm zugespielt, das laut Analyse zahlreiche Parallelen zu Stuxnet aufweist. Das Sabotage-Programm Stuxnet hatte letztes Jahr für große Aufregung gesorgt, als es ein iranisches Atomprogramm lahmlegte und zahlreiche Rechner in 155 Ländern befallen hatte. Nun scheint er einen kleinen, aber noch raffinierteren Nachfolger bekommen zu haben.
Entdeckt wurde der Duqu getaufte Wurm auf Rechnern 8 europäischer Unternehmen, vor allem bei Herstellern von Industrieanlagensteuerungen. Von daher gehen Experten davon aus, dass der Trojaner zum Diebstahl von Betriebsgeheimnissen ausgelegt ist. Bei Duqu handelt es sich eher um eine Ausspäh-Drohne, als um einen Wurm, da er sich nicht selbst replizieren kann und keine Sabotagefunktionen an Bord hat. Daher bezeichnen Mitarbeiter von Symantec ihn auch als „Vorläufer eines Stuxnet-Nachfolgers“.
Duqu wurde anscheinend nur für gezielte Angriffe eingesetzt. Um nicht entdeckt zu werden, wartet er nach der ersten Ausführung 15 Minuten lang und wird erst dann wieder aktiv. So umgeht er die Analyse in der Sandbox. Außerdem löscht sich der raffinierte Trojaner nach 36 Tagen selbstständig aus dem infizierten System. Duqu, der mit seinen 300 Kilobyte kleiner als Stuxnet ist, sendet Daten an einen Kommando- und Steuerungs-Server. Von dort kann er auch neue Programmbestandteile nachladen. Damit seine Datenübertragungen auch gut getarnt sind, und nicht von Schutzprogrammen erkannt werden, versteckt er die Datenpakete in Jpeg-Bildern. Duqu war mit einem gültigen Zertifikat signiert, das aus einem Unternehmen in Taipeh (Taiwan) stammt. Dadurch wurde er zuverlässig beim Systemstart ausgeführt. Ausgestellt wurde das Zertifikat von VeriSign. Nach der Entdeckung von Duqu wurde es sofort für ungültig erklärt.
Symantec und auch andere Antiviren-Anbieter gehen davon aus, dass die Entwickler von Duqu Zugang zum Original-Quellcode von Stuxnet hatten oder sogar selbst Stuxnet entwickelt haben. Deshalb haben schon jetzt die wildesten Spekulationen begonnen. Einzelne Staaten - insbesondere die USA - werden als Ursprungsland vermutet und die Experten spielen diverse Zukunftsszenarien mit dem erwarteten Stutnex 2.0 durch. Von einer neuen Dimension des Cyberkrieges ist gar die Rede. Allerdings kann im Prinzip jeder die Stuxnet-Variante entwickelt haben, da der Quellcode seit einiger Zeit im Internet kursiert.
