Neues zu Duqu
Es gibt einige wenige neue Informationen zu Duqu, vor allem zur Entdeckung des Angriffs. Über die sich sich Duqu-Entwickler sicher fürchterlich geärgert haben. Am Anfang stand
Ein scheinbar relativ harmloser Datensammler
Dennis Fisher von Threatpost hat sich mit Costin Raiu von Kaspersky Lab über die Duqu-Angriffe unterhalten. Bei Kaspersky lief die Aufdeckung von Duqu quasi rückwärts ab: Als erstes wurde bereits im September ein Daten sammelnder Trojaner entdeckt, der keine Kommunikationsfunktionen enthielt. Da der nur beim Aufruf mit einem bestimmten Parameter Daten sammelte, die dann lediglich in einer Datei im Temp-Verzeichnis gespeichert wurden, schien der Schädling relativ harmlos zu sein. Erst nachdem im Oktober über Duqu und seine mehreren Komponenten berichtet wurde, bekam die Entdeckung aus dem September eine tiefere Bedeutung - man hatte bereits damals einen Teil von Duqu analysiert.
Auf Tarnung wird besonders geachtet
Die Duqu-Entwickler haben für jeden Einsatz einen eigenen Command&Control-Server verwendet, ein sehr geschickter Schachzug, da im Fall der Entdeckung eines Angriffs alle weiteren ungestört weiterlaufen. Darüber hinaus wurden anscheinend auch die Treiber und sonstige Dateien für jedes Ziel abgeändert. Außerdem legen die Entwickler großen Wert darauf, möglichst wenig Spuren zu hinterlassen. In jedem Schritt werden die im vorhergehenden erzeugten Spuren möglichst verwischt. Um so mehr dürfte es die Duqu-Entwickler ärgern, dass ihr Schädling trotzdem entdeckt wurde.
Zwei Datensammler entdeckt, weitere vermutet
Bisher wurden erst zwei "Info Stealer"-Komponenten entdeckt. Zum einen die bereits im September entdeckte Datei, zum anderen eine am 18. Oktober entdeckte Version, die nie als Datei gespeichert wird. Stattdessen wird sie direkt in den Speicher geschrieben und konnte dadurch nur im Netzwerkverkehr entdeckt werden. Andererseits gibt es verschiedene Version im Hinblick auf den Umfang und die Art der gesammelten Informationen. Insbesondere existiert eine bisher nicht entdeckte Version, die Dokumente wie Word- und Excel-Dateien, Sourcecode, AutoCAD-Dateien etc. sammelt und in einer Datei mit DF im Namen speichert. Aus dem Vorhandensein dieser Dateien auf einigen infizierten Rechnern wurde auch auf die Existenz dieser Info-Stealer-Version geschlossen. Es wird vermutet, dass sie im Zeitraum Mai/Juni/Juli eingesetzt und danach ausgetauscht bzw. die entsprechende Funktionen aus dem "Info Stealer" entfernt wurden.
Spontan würde ich dann ja fragen "Und wie viele weitere Varianten gibt es, die sich besser tarnen?" Denn wären die DF-Dateien nicht entdeckt worden, hätte niemand gewusst, dass auch Dateien ausgespäht wurden. Es gibt ja mindestens noch eine Variante, die Dateien mit DO in Namen anlegt. Vielleicht gibt es ja auch noch eine, die die Datei mit den gesammelten Daten nach der Übertragung an die Entwickler löscht?
Duqu- und Stuxnet-Entwickler verbunden
In einem weiteren Gespräch ging es um die Urheber von Duqu und ihre möglichen Ziele. Zumindest Costin Raiu ist sich ziemlich sicher, dass Duqu und Stuxnet von den gleichen Personen oder zumindest der gleichen Organisation entwickelt wurden (was er bereit zuvor verkündet hatte, Threatpost gehört zu Kaspersky, daher werden dort des öfteren Kaspersky-Experten interviewt).
Die Duqu-Entwickler nutzten z.B. die gleichen Schlüssel für die Verschlüsselung wie Stuxnet, die aber nie irgendwo veröffentlicht wurden. Außer den weiteren bereits diskutierten Gemeinsamkeiten zwischen Duqu und Stuxnet gibt es weitere: "And there are – actually, there are a few more pointers, which I cannot publically disclose, which make us pretty sure that they have been written by the same guy." Vielleicht wurden beide Schädlinge nicht von genau den gleichen Entwicklern programmiert, aber sie arbeiten zumindest für das gleiche Unternehmen (oder wohl eher für den gleichen Geheimdienst bzw. in dessen Auftrag).
Costin Raiu weist auch auf einen Fehler der Stuxnet-Entwickler hin, der bei Duqu vermieden wurde: Durch seine Fähigkeit zur Selbstverbreitung gelangte Stuxnet auf unbeteiligte Rechner und wurde entdeckt - Duqu enthält vielleicht gerade deshalb keine Funktion zur Weiterverbreitung. Das hat seine Entdeckung zwar nicht verhindert, vermutlich aber verzögert.
Sehr gezielte Angriffe
Außerdem weist Costin Raiu darauf hin, dass es nur sehr gezielte Angriffe gab und der größte Teil aller Unternehmen und erst Recht Privatpersonen kaum Gefahr laufen, Duqu jemals zu begegnen. Wer ihm jedoch zum Opfer gefallen ist, wird seine Spuren oft erst entdecken, wenn es längst zu spät ist und die Angreifer bereits alle sie interessierenden Daten ausgespäht haben.
Wie viele unbemerkte Angriffe es wohl schon gab, bei denen die Schädlinge nach getaner Arbeit einfach alle Spuren und danach sich selbst gelöscht haben? Wobei es dann vielleicht eine gute Tarnung wäre, stattdessen einen der allgemein bekannten Schädlinge zu installieren. Kommt der Verdacht auf, es könnte etwas passiert sein, wird dann "nur" ein Standard-Schädling wie z.B. Zeus gefunden.
Übersicht über alle Artikel zum Thema
- Stuxnet - Ein paar Fakten
- Standpunkt: Stuxnet - Wer will da wem an die Produktion?
- Standpunkt: Stuxnet - Der erste Schritt zum Cyberwar?
- Standpunkt: Stuxnet - Ein Überblick über die Entwicklung
- Standpunkt: Stuxnet: Kaum neue Fakten, ein neues Gerücht
- Standpunkt: Stuxnet - Stand der Dinge
- Standpunkt: Der Wink mit dem Stuxnet
- Standpunkt: Neues zu Stuxnet, Android-Trojanern, USB-Keyloggern und Facebook
- Standpunkt: Conficker ist wieder da. Und was macht Stuxnet?
- Das RAT, das aus dem Stuxnet kam
- Standpunkt: Clickjacking gegen Flash, urchin.js und Duqu - nichts als Wiederholungen!
- Standpunkt: Neues zu SSL und Duqu
- Standpunkt: Wie gefährlich ist die Duqu-0-Day-Schwachstelle?
- Standpunkt: Neues zu Duqu
Trackbacks