HOME

Gefährlicher Trojaner aufgetaucht: Duqu, der kleine Bruder von Stuxnet

Sicherheitsexperten sind beunruhigt: Eine Art "kleiner Bruder" des gefährlichen Stuxnet-Wurms treibt derzeit auf europäischen Computern sein Unwesen. Schaden angerichtet hat er noch nicht – allerdings könnte er einen weiteren Angriff vorbereiten.

Droht bald ein großer Cyber-Angriff auf Industrieanlagen? Auf Computern in Europa ist laut Experten eine Art "kleiner Bruder" des berüchtigten Computerwurms Stuxnet entdeckt worden. Die neue Schadsoftware namens "Duqu" ist ein extrem gut getarnter Trojaner, der gezielt Unternehmen wie Entwickler von Industrieanlagen ausspionieren soll, berichtet die IT-Sicherheitsfirma Symantec. Das Alarmierende: Duqu enthält Teile des Software-Codes von Stuxnet, des berüchtigten Virusprogramms, mit dem wahrscheinlich das iranische Atomprogramm sabotiert wurde.

Vorbereitung auf Stuxnet 2.0

Stuxnet sorgte im vergangenen Jahr für viel Aufsehen: Der Computerwurm war ungewöhnlich komplex und extrem gut programmiert, sodass Experten westliche Geheimdienste als Urheber vermuteten. Das im Sommer vergangenen Jahres entdeckte Programm war zwar darauf getrimmt, Zentrifugen zur Uran-Anreicherung durcheinanderzubringen – prinzipiell konnte es aber auch auf andere Industrieanlagen umprogrammiert werden.

Ersten Untersuchungen zufolge greift Duqu nur auf Teile von Stuxnet zurück. Doch das ist schon alarmierend genug: "Wer auch immer diesen Schädling programmiert hat, hatte wahrscheinlich Zugang zum Original-Quellcode von Stuxnet", urteilt die IT-Sicherheitsfirma Sophos. Duqu kann, ähnlich wie Stuxnet, weitere Spionage-Module herunterladen. Damit kann beispielsweise ein sogenannter Keylogger nachgerüstet werden, der alle Tastatur-Anschläge aufzeichnet. So können Logindaten wie Accountnamen oder Passwörter unverschlüsselt gespeichert werden. Wer die Software entwickelt hat, bleibt ebenso unklar wie ihr Einsatzzweck. Vermutlich handelt es sich aber um eine Art digitale Drohne, die lediglich spioniert und weitere Aktionen ihrem Nachfolger überlässt.

"Duqu ist im Grunde der Vorbote einer zukünftigen Stuxnet-artigen Attacke", schreiben Experten von Symantec in ihrer Analyse. Der Trojaner soll Daten von Rechnern sammeln und sie an seine Entwickler weiterleiten. Duqu sei auf Computern von sieben oder acht europäischen Unternehmen gefunden worden, die an der Entwicklung von Industrieanlagen-Software beteiligt seien, sagte ein Symantec-Analyst dem Online-Dienst Cnet. Um Spuren zu verwischen, entfernt sich die Software nach 36 tagen automatisch vom infizierten Computer. "Wir wissen bisher nicht, worauf genau sie es abgesehen haben." Die erste bekannte Attacke dürfte bereits auf Dezember 2010 zurückgehen, die neueste Variante stamme vom 17. Oktober.

Unbemerkter Angriff

Das Programm öffne dem Angreifer eine Art Hintertür im Computer, erläutert Thorsten Urbanski vom deutschen Sicherheitssoftware-Spezialisten G Data. "Es sammelt Informationen, um danach einen gezielten Angriff zu fahren." Duqu kann Windows-Systeme jeder Art befallen. Die Verfallsfrist von 36 Tagen weise darauf hin, dass die Attacke gar nicht erst entdeckt werden sollte. "Das Industrieunternehmen soll ja gar nicht merken, dass es angegriffen wurde“, sagt Urbanski.

Den Namen Duqu bekam die Software, weil sie Dateien mit dem Namensteil "~DQ" erstellt. Im Gegensatz zu Stuxnet ist der neueste Schädling aber kein Wurm, da er sich nicht selbstständig von Rechner zu Rechner verbreiten kann. Stattdessen muss er gezielt auf einzelne Computer aufgespielt werden. Möglicherweise verbreitet er sich durch infizierte E-Mail-Anhänge, mutmaßt Symantec. Die Software sei von einem IT-Sicherheitslabor entdeckt worden, das anonym bleiben wolle – damit man nicht auf die Namen der betroffenen Unternehmen schließen könne.

Die IT-Sicherheitsfirma McAfee kam zu dem Schluss, dass mit Duqu auch Unternehmen angegriffen werden konnten, die digitale Zertifikate zur Autorisierung von Websites und Software ausgeben. Mit den geklauten Zertifikaten kann sich das Schadprogramm als eine andere Software ausgeben und tarnt sich als legale Software.

cf/DPA / DPA
Themen in diesem Artikel