Duqu: Stuxnet-Bruder entdeckt

Erst vor wenigen Tagen wurde der Sicherheitsspezialist Symantec auf die neue Bedrohung aufmerksam. Der Duqu getaufte Schädling erinnert frappierend an Stuxnet und soll sich bereits in Computern in Europa eingenistet haben. Stuxnet sorgte vor rund einem Jahr für Aufruhr: Er manipulierte unter anderem Steuerungsrechner iranischer Atomaufbereitungsanlagen.

Der Name Duqu leitet sich von der Eigenart des Schädlings ab, Dateien mit der Endung «DQ» zu erstellen. Der Code von Duqu sei teilweise identisch mit Stuxnet, berichtet Symantec. Das bedeute, dass er aus der gleichen Quelle stammen müsse wie Stuxnet. Die Autoren müssten aber wenigstens Zugriff auf den Stuxnet-Code gehabt haben.
Duqu verfolge aber ein anderes Ziel. Symantec bezeichnet Duqu als eine Art Aufklärer für nachfolgende Attacken. Die Schad-Software soll wohl Daten über die nächsten Angriffsziele sammeln, um die Angriffe besser abzustimmen. Weil Duqu sich nicht selbst repliziert, handelt es sich auch um keinen Wurm. In diesem Punkt unterscheidet sich Duqu also deutlich von Stuxnet. Duqu ist vielmehr ein Trojaner, der seinen Schöpfern Zugriff aus der Ferne auf die infizierten Systeme gewähren soll. Nachdem Duqu sich auf bereits infizierten Systemen eingerichtet habe, habe er eine Keylogger nachgeladen und auch anderweitig versucht, sensible Daten zu klauen. Symantec glaubt, dass Duqu bereits seit Dezember 2010 sein Unwesen treiben könnte. Der 1. September 2011 gilt aber als gesichertes Datum.

Der Server, mit dem Duqu kommuniziert, sei vor wenigen Tagen immer noch aktiv gewesen. Die Kommunikation erfolgt über versteckte Daten in JPG-Dummies. Nach 36 Tagen löscht sich Duqu übrigens selbst, berichtet Symantec. Wo der Server stehe und wer die Urheber sein könnten, sagt Symantec nicht.