Digitale Spurensuche erweist sich als schwierig

Duqu-Betreiber löschten verräterische Informationen von C&C-Servern

| Redakteur: Stephan Augsten

Die Urheber des Duqu-Trojaners kaperten bevorzugt auf CentOS basierende Linux-Server.
Die Urheber des Duqu-Trojaners kaperten bevorzugt auf CentOS basierende Linux-Server.

Die Urheber des Duqu-Trojaners haben ihre Spuren gut verwischt, melden Kaspersky-Forscher nach einer IT-forensischen Analyse der Command-and-Control-Server. Bereits im Oktober hatten die Cyber-Kriminellen damit begonnen, verräterische Daten von mindestens einem Dutzend ihrer Schaltzentralen zu löschen.

In einem Blog-Eintrag auf Securelist.com musste Vitaly Kamluk, Malware-Experte der Kaspersky Labs, vergangene Woche einräumen, dass man die Urheber von Duqu und Stuxnet noch immer nicht kennt: „Wir haben zwar einige der [Command-and-Control-] Server analysiert, die Angreifer haben ihre Spuren aber sehr erfolgreich verwischt.“

Am 20. Oktober 2011 hatten die Cyber-Kriminellen damit begonnen, verräterische Daten von den zugehörigen Command-and-Control-Servern (C&C-Server) zu löschen. Kaspersky schätzt, dass die Duqu-Autoren seit 2009 weltweit mindestens zwölf Systeme gekapert haben, um ihren Schadcode zu steuern.

Einer der jüngst untersuchten Server wurde von einem bulgarischen Webhoster in Deutschland betrieben. Er diente den Angreifern dazu, sich mit einem übergeordneten C&C-Server in Vietnam zu verbinden, über den wiederum die im Iran gefundenen Duqu-Varianten gesteuert wurden. Weitere C&C-Server ließen sich geographisch Belgien, Großbritannien, Indien, der Schweiz, Singapur und Südkorea zuordnen.

Auf allen bis dato identifizierten C&C-Servern lief das Linux-Betriebssystem CentOS in Version 5.2, 5.4 oder 5.5. Es scheint, als hätten sich die Cyber-Kriminellen durch einfaches Ausprobieren gebräuchlicher Login-Passwort-Kombinationen (Brute-Force-Attacke) einen Zugriff auf die Systeme verschafft.

Im Rahmen der Analyse gelang es den Kaspersky-Forschern, über ein Dutzend verschiedene Duqu-Varianten zu identifizieren. Welcher Server aber das Fundament für die Verbreitung des Schadcodes bildete, lässt sich den Forschern zufolge nicht genau ermitteln.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 30711810 / Malware)