Sicherheitsforscher von Symantec haben neue Variante von Duqu entdeckt – ein klares Zeichen dafür, dass die Angriffe mit dem Spionage-Trojaner weitergehen. Der jüngste Duqu-Treiber wurde im Februar 2012 kompiliert. Nach Angaben von Costin Raiu von Kaspersky wurde die jüngste Duqu-Variante entwickelt, um den Trojaner vor dem eigens von CrySys entwickelnten Open-Source-Detektor zu verstecken.
Symantec identifizierte ihn als mcd9x86.sys und erklärte, er enthalte keine neuen Funktionen. Rund vier Monate zuvor war Duqu erstmals als eigenständige Malware bezeichnet worden, die „auffällige Ähnlichkeiten“ mit Stuxnet aufweist – jenem Wurm, der Nuklearanlagen im Iran angegriffen hatte.
Kaspersky hat indes aus dem Code von Duqu herausgelesen, dass dessen Programmierer seit Längerem im Geschäft sein müssen. Die Hacker verwendeten unter anderem die relativ selten genutzte Sprache OO C, wie Sicherheitsforscher Igor Soumenkov in einem Blogeintrag erläutert. Die Abkürzung steht für Object Oriented C und ist eine etwas in Vergessenheit geratene angepasste Erweiterung der Sprache C.
Die Hacker haben Soumenkov zufolge OO C genutzt, um damit die Komponenten für ‚Command and Control‘ (C&C) des Schädlings zu programmieren, die mit Hilfe des Compilers in Microsoft Visual Studio 2008 kompiliert wurden. Die größten Teile von Duqu wurden hingegen in C++ geschrieben und mit Visual C++ 2008 kompiliert.
Daraus schließt Soumenkov, dass zumindest einige der Entwickler von Duqu zu Zeiten von Assembler zu programmieren begonnen haben. Die Assembler-Entwickler wechselten damals häufig zu C, als sich diese Sprache langsam durchsetzte. „Als dann C++ veröffentlich wurde, blieben viele Old-School-Programmierer dieser Sprache fern, weil sie ihr misstrauten“, schreibt Soumenkov. Die Autoren, die diese Programm-Komponenten lieferten, müssen in ihrem Bereich absolute Spezialisten sein. Solche Techniken kämen heutzutage in professioneller Software vor und kaum in „dummer Malware“. Damit „ragt Duqu aus der Masse der Schadsoftware heraus wie ein Diamant“.
Bei Duqu handelt es sich um einen hochspezialisierten Trojaner, der auf Windows-Systemen eine Hintertür installiert und Dateien sammelt – etwa Konstruktionspläne von Herstellern industrieller Kontrollsysteme. Er nutzte eine Zero-Day-Lücke in Windows aus, um Rechner mittels manipulierter Word-Dateien zu infizieren. Microsoft zufolge steckte ein Fehler in der Verarbeitung von Win32k-Truetype-Schriften. Mitte Dezember schloss es die Lücke.
Stuxnet gilt als intelligentes Sabotage-Werkzeug, das das iranische Atomprogramm deutlich zurückgeworfen haben soll. Der Computerwurm attackierte nur Industrie-Steuerungsanlagen von Siemens, und zwar ausschließlich in einer Konfiguration, wie sie für Zentrifugen zur Anreicherung radioaktiven Materials typisch sei.
[mit Material von Ryan Naraine, ZDNet.com, und Martin Schindler, silicon.de]
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…