Kaspersky identifiziert Programmierplattform hinter Stuxnet und Duqu

Kaspersky meldet, dass es eine Analyse der Computerviren Duqu und Stuxnet abgeschlossen hat. Wie von Anfang an geargwöhnt, stammen beide vom selben Team. Kaspersky konnte aber auch die genutzte Programmierumgebung identifizieren, die „Tilded“ heißt.

Die Sicherheitsforscher fanden sieben Treiber, die ihrer Meinung nach in keiner anderen Plattform zum Einsatz kommen. „Diese Plattform könnte schon lange vor der Stuxnet-Epidemie entwickelt worden sein. Und vielleicht wurde sie mehr genutzt, als man bislang annimmt. Man habe Hinweise gefunden, dass damit zwischen 2007 und 2011 auch andere Viren programmiert worden seien. Ebenfalls interessant: Drei der sieben Treiber sind bisher in keiner anderen Malware zum Einsatz gekommen.

Stuxnet hatte 2010 Industriekontrollsysteme von Siemens befallen. Das Schadprogramm störte die Nuklearforschungen im Iran, indem es etwa Zentrifugen eines Atomkraftwerks in Natanz zerstörte. Dies führte zu Verschwörungstheorien und gegenseitigen Schuldzuweisungen zwischen dem Iran und den USA.

Duqu wurde 2011 entdeckt. Von Anfang an war klar, dass es Code aus Stuxnet wiederverwendete. Allerdings griff Duqu Desktop-Systeme statt Industrieanlagen an. Es sammelte aber thematisch verwandte Informationen und wurde ebenfalls schon im Iran gesichtet.

Die genaue Verwandtschaft zwischen beiden Schadcodes war bisher umstritten. McAfee hatte im Oktober die These aufgestellt, dass sie von unterschiedlichen Programmierern stammten, die Schöpfer von Duqu aber den Quelltest von Stuxnet zur Verfügung gehabt hätten. Das sieht Kaspersky nun als widerlegt an.