Das gefährliche Schadprogramm Stuxnet hat einen kleinen Bruder - so zumindest die Analyse der IT-Sicherheitsfirma Symantec. Duqu heißt es, soll seit etwa einem Jahr im Umlauf sein und fleißig auf Industrierechnern spionieren. Will Duqu Unternehmen einfach nur ausspähen oder bereitet die Software einen Sabotageakt vor? Die wichtigsten Fragen und Antworten.
Warum wird Duqu als kleiner Bruder von Stuxnet bezeichnet?
Duqu basiert maßgeblich auf dem Stuxnet-Code. Die Symantec-Experten glauben deshalb, dass Duqu entweder von den Stuxnet-Autoren programmiert wurde oder die Entwickler Zugang zum Quellcode des bekannten Angriffsprogramms hatten. Es ist bereits länger bekannt, dass der Stuxnet-Code im Netz kursiert.
Dabei gibt es zwei entscheidende Unterschiede: Zum einen infizierte Stuxnet vor allem iranische Industrieanlagen, bei Duqu wurden bislang keine solchen geographischen Präferenzen festgestellt. Zum anderen ist Duqu zwar wie Stuxnet ein mit hohem Aufwand und tiefer Systemkenntnis programmiertes Virus, aber ihm fehlt offenbar die Angriffskomponente.
Stuxnet drang bereits 2009 über verseuchte USB-Speichersticks in Steuerrechner ein und soll dabei die Drehzahl von Zentrifugen für die Urananreicherung in iranischen Atomanlagen manipuliert haben.
Wie gefährlich ist Duqu?
Derzeit spioniert Duqu nur, Funktionen zur Steuerung von Industrieanlagen fehlen. Symantec bezeichnet die Software als "Vorbereiter einer künftigen stuxnet-artigen Attacke". Die gesammelten Informationen könnten dafür verwendet werden, Schwachstellen im System zu finden, um entsprechende Angriffssoftware einzuschleusen. Womöglich handelt es sich aber einfach nur um ein Mittel zur Industriespionage.
Wie tarnt sich das Programm?
Duqu funktioniert ähnlich wie Stuxnet: Der Schadcode ist mit einem Sicherheitszertifikat einer taiwanischen Firma versehen, die der finnische IT-Sicherheitsdienst F-Secure als C-Media Electronics Incorporation identifziert. Damit kann der Code nicht als schädlich erkannt werden. Das Sicherheitszertifikat sollte nach Erkenntnissen der IT-Fachleute ursprünglich bis zum 2. August 2012 gültig sein, nach der Entdeckung wurde es aber wohl auf den 14. Oktober 2011 begrenzt. Allerdings ist noch unklar, wie das Programm auf die Rechner kam.
Ein weiterer Trick: Duqu tarnt sich als Gerätetreiber und startet mit der Installation der schädlichen Programmteile, sobald ein Gerät hochfährt. Diesen gibt er die Vorsilbe "~DQ", daher auch der Name "Duqu" (ausgesprochen "Dükjü"). Über einen Trojaner sendet Duqu die gesammelten Informationen an Server, die "irgendwo in Indien" stehen sollen und das Kommandozentrum bilden. Die Dateien hängt er an ein kleines jpeg-Bild an. Weil die Daten verschlüsselt sind, versuchen die IT-Experten derzeit noch herauszufinden, welche Informationen der Schädling abgreift.
Wie wurde Duqu entdeckt?
Symantec wurde nach eigenen Angaben Ende vergangener Woche von einer europäischen IT-Sicherheitsfirma kontaktiert, die das Virus offenbar bei einem europäischen Unternehmen gefunden hatten. Duqu gibt es in zwei Varianten und wurde inzwischen auf mindestens zehn Computern gefunden. Welche Unternehmen betroffen sind, verrät Symantec nicht. Wie es heißt, handelt es sich um Unternehmen aus dem produzierenden Gewerbe und dem Sektor kritischer Infrastrukturen, also zum Beispiel Verkehrsunternehmen oder Kraftwerksbetreiber.
Wer steckt dahinter?
Wie die New York Times aufdeckte, soll Stuxnet seinerzeit gemeinsam von amerikanischen und israelischen Experten entwickelt worden sein.
Auch damals war ein gestohlenes Sicherheitszertifikat verwendet worden, weshalb der taiwanische Hersteller C-Media nicht zwangsläufig etwas mit der Sache zu tun haben muss. Ebensowenig ist gesichert, dass Israel und die USA, Indien oder ein anderes Land dahinterstecken.
Unklar bleibt, warum nach der Aufregung um Stuxnet bereits so schnell ein weiteres, ähnliches Programm in Umlauf gebracht wurde. "Was uns erstaunt, ist, dass diese Leute immer noch aktiv sind", wunderte sich auch Symantec-Experte Liam O Murchu im Gespräch mit Wired.com.
Weitere Analysen darüber, wie das Programm auf die Computer kam und wo die betroffenen Rechner stehen, dürften Hinweise auf den oder die Urheber geben.