Suchen

Digitale Spurensuche erweist sich als schwierig Duqu-Betreiber löschten verräterische Informationen von C&C-Servern

| Redakteur: Stephan Augsten

Die Urheber des Duqu-Trojaners haben ihre Spuren gut verwischt, melden Kaspersky-Forscher nach einer IT-forensischen Analyse der Command-and-Control-Server. Bereits im Oktober hatten die Cyber-Kriminellen damit begonnen, verräterische Daten von mindestens einem Dutzend ihrer Schaltzentralen zu löschen.

Firma zum Thema

Die Urheber des Duqu-Trojaners kaperten bevorzugt auf CentOS basierende Linux-Server.
Die Urheber des Duqu-Trojaners kaperten bevorzugt auf CentOS basierende Linux-Server.

In einem Blog-Eintrag auf Securelist.com musste Vitaly Kamluk, Malware-Experte der Kaspersky Labs, vergangene Woche einräumen, dass man die Urheber von Duqu und Stuxnet noch immer nicht kennt: „Wir haben zwar einige der [Command-and-Control-] Server analysiert, die Angreifer haben ihre Spuren aber sehr erfolgreich verwischt.“

Am 20. Oktober 2011 hatten die Cyber-Kriminellen damit begonnen, verräterische Daten von den zugehörigen Command-and-Control-Servern (C&C-Server) zu löschen. Kaspersky schätzt, dass die Duqu-Autoren seit 2009 weltweit mindestens zwölf Systeme gekapert haben, um ihren Schadcode zu steuern.

Einer der jüngst untersuchten Server wurde von einem bulgarischen Webhoster in Deutschland betrieben. Er diente den Angreifern dazu, sich mit einem übergeordneten C&C-Server in Vietnam zu verbinden, über den wiederum die im Iran gefundenen Duqu-Varianten gesteuert wurden. Weitere C&C-Server ließen sich geographisch Belgien, Großbritannien, Indien, der Schweiz, Singapur und Südkorea zuordnen.

Auf allen bis dato identifizierten C&C-Servern lief das Linux-Betriebssystem CentOS in Version 5.2, 5.4 oder 5.5. Es scheint, als hätten sich die Cyber-Kriminellen durch einfaches Ausprobieren gebräuchlicher Login-Passwort-Kombinationen (Brute-Force-Attacke) einen Zugriff auf die Systeme verschafft.

Im Rahmen der Analyse gelang es den Kaspersky-Forschern, über ein Dutzend verschiedene Duqu-Varianten zu identifizieren. Welcher Server aber das Fundament für die Verbreitung des Schadcodes bildete, lässt sich den Forschern zufolge nicht genau ermitteln.

(ID:30711810)