Erstellt am: 8. 11. 2011 - 18:57 Uhr

Krimi um "Staatstrojaner"

Rund um die Welt wird mit Hochdruck an der Analyse der ebenso raffinierten, wie rätselhaften Spionagesoftware "Duqu" gearbeitet. Sicher ist: Die Entwicklung der Schadsoftware hat mehrere Hunderttausend Dollar gekostet.

"Verbreitung: gering. Schadenspotential: mittel. Entfernung: einfach" - so lauten die Diagnosen ziemlich aller Antivirus-Analysten. Warum wird dann um den "Duqu"-Trojaner derart viel Aufhebens gemacht?

Die Antwort: Duqu stand oder steht im Zentrum eines Angriffs durch "staatsnahe" Kräfte auf mindestens sechs verschiedene Netzwerke in acht Staaten. Wer genau angegriffen wurde, ist immer noch nicht bekannt, ebenso im Dunkel liegt der Zeitpunkt, seit dem diese Schadsoftware in Umlauf ist.

Ein "Workaround" von Microsoft

Microsoft hat zwar am Samstag einen ersten Patch für die Sicherheitslücke angeboten, nach eigenen Angaben ist es allerdings ein bloßer "Workaround", also improvisiert. Man arbeite an einem umfangreichen Sicherheitsupdate, hieß es, ein Zeitpunkt für die Veröffentlichung wurde aber nicht genannt.

In der Nacht auf Dienstag wurde ein weiterer Steuerungsserver, mit dem die von Duqu befallenen Rechner kommunizierten, in Indien entdeckt und deaktiviert

Spur nach Italien

Nicht ganz überraschend handelt es sich um einen Mietrechner ("Virtual Private Server") in einem Rechenzentrum, von dort führt die Spur weiter nach Italien. Ein Kunde aus Mailand habe den Rechner gemietet, gab der indische IT-Dienstleister am Dienstag an.

Auch wenn (noch) nicht bekannt ist, wer da zu welchem Zweck ausspioniert wurde, fest steht, die gesuchten Informationen müssen von sehr hohen Wert sein, denn mit Aufwand wurde nicht gespart. Und: Man wusste, wo man die gesuchten Informationen finden würde, denn diese Art des Angriffs heißt nicht zufällig "Targeted Attack".

Böse Module

Man griff also Maschinen in ganz bestimmten Netzwerken an, darüber hinaus sollte sich Duqu gar nicht verbreiten, sondern bereits nach 36 Tagen automatisch wieder verschwinden.

Davor hatte die Spionagesoftware nur Passwörter und Strukturen der Netzwerke auszuforschen, Schadensroutinen wie der berüchtigte Stuxnet-Virus haben wenigstens die bisher entdeckten Duqu-Versionen nicht. Doch das kann noch werden, denn diese Schadsoftware ist modular gebaut und lässt sich um weitere, bisher unbekannte Funktionen aus der Ferne erweitern.

Stuxnet-Methoden

Was die Security-Branche in Alarmstimmung versetzt hat, ist der Umstand, dass Duqu sowohl in Teilen des Codes, wie auch in den verwendeten Methoden große Ähnlichkeiten mit Stuxnet aufweist.

Um das Betriebssystem zu "überreden", gewisse Treiber zu installieren, wurde in beiden Fällen mit gestohlenen oder gefälschten digitalen Signaturen gearbeitet. Wie Stuxnet dringt auch die Duqu-Schadsoftware durch bis dahin unbekannte Windows-Sicherheitslücken ("Zero Day Exploits") ein.

"Stuxnet 2" ist übertrieben

Trotzdem sind die Analysten mit Analogien zu Stuxnet vorsichtiger geworden, als in den ersten Tagen nach der Entdeckung.

Die Sicherheitsexperten von NSS-Labs meinen etwa, es sei "verfrüht" Duqu als "Stuxnet 2" zu bezeichnen. Dass die Schadsoftware mit großer Rafinesse und noch höherem Aufwand konstruiert ist, darüber herrscht weitgehend Einigkeit.

Hunderttausende Dollar

NSS-Labs gehen von mehreren Personenjahren Arbeitszeit aus, die ein "sehr kompetentes, diszipliniertes und gut finanziertes Team von Programmierern" in dieses Schadprogramm investiert habe. Es wurden also mehrere Hunderttausend Dollar investiert, um ein bestimmtes Ziel zu erreichen.

Obwohl rund um die Welt angestrengt geforscht wird, kommen nur langsam nähere Details ans Licht. Mittlerweile weiß man, dass des neben jenen in Belgien und Indien noch weitere Steuerrechner geben muss.

Duqu in Österreich, dreimal Iran

Laut Symantec ist in den Ländern mit Duqu-Sichtung eine "Organisation" - was immer das bedeuten mag - an den Standorten Frankreich, Holland, Schweiz und Ukraine angegriffen worden.

Die anderen fünf haben je einen betroffenen Standort zu vermelden: Indien, Sudan, Vietnam und zweimal Iran. So die Liste von Symantec.

Andere Securityfirmen melden weitere Sichtungen "in the wild", nämlich in Indien, Ungarn, Österreich und - wieder im Iran, allerdings in einer Variante, die von jener Symantecs abweicht.

Steuerung und Sicherheit

Nach der Deaktivierung der Kommandoserver wurden von Duqu neue Treiber generiert, die einen weiteren Kommandoserver ansteuern. All das geschieht verschlüsselt.

Die relative kurze Standard-Lebensdauer von 36 Tagen dürfte ebenso eine bloße Sicherheitsmaßnahme dagegen sein, dass sich infizierte Maschinen, die nicht mehr unter der Kontrolle des CC-Servers stehen, selbst säubern, um nicht aufzufallen.

Die Raffinessen

Dazu kommt eine ausgesprochen raffinierte Methode, die gestohlenen Daten aus dem Zielnetzwerk zu exfiltrieren, wie das Herausschmuggeln von Information genannt wird.

Dies geschieht, indem abgefangene Passwörter etc. in Bilddateien versteckt werden, die dann komprimіert und obendrein verschlüsselt an den Kontrollserver übertragen werden. Die "Rootkit"-Komponente, die dazu dient, die Aktivitäten der Schadsoftware zu verschleiern ist - auch ein Novum - in einzelnen Modulen aufgebaut.

DuQu als "Abschussrampe"

Das große Rätsel bleiben die weiteren, möglichen Funktionen, zumal Duqu über ein "Downloader"-Modul verfügt, das jederzeit weitere "Features" nachinstallieren kann.

Die sind derzeit zwar nicht bekannţ, aber es ist wenig wahrscheinlich, dass der immens große Aufwand allein dafür getrieben wurde, eine Art von Trojanern zu installieren, die - wenn auch raffinierter und besser getarnt - nicht viel mehr tun, als die mittlerweile bekannten Polizeitrojaner: Tastaturanschläge protokollieren, alle Datenträger scannen usw.

Es ist daher gar nicht abwegig, wenn die NSS-Labs Duqu mit einer Abschussrampe vergleichen. Was man bisher gesehen habe, sei nur die erste Phase eines mehrstufigen Angriffs, schreiben die Antivirus-Experten: "Von Duqu werden wir noch hören."