Keyfacts
- entdeckt: September 2011
- sicher aktiv seit: November 2010
- letzte Aktualisierung: Oktober 2011
- Verbreitung: ausschließlich auf Rechner von 5 Technologie- und Forschungsorganisationen mit Sitz in Frankreich, Niederlande, Schweiz, Ukraine, Indien, Iran, Sudan, Vietnam
- Infektion und Replikation: modifiziertes WORD-Dokument für Infektion, Weiterverbreitung über Windows-Netzwerkumgebung
- Hauptziel: gezielte Signal Intelligence und Spionage von Organisationen
- Vermutliche Herkunft: unbekannt, aber vermutlich auf gleiche Programmierplattform wie Stuxnet entstanden (siehe „Tilded“)
Relevante Dokumente
Bild-Quelle: DailyTech (offline, Original Link war http://www.dailytech.com/Duqu ist eine Malware, die vermutlich auch durch das Stuxnet-Team entwickelt wurde, zumindestens legt diesen Schluß die hohe Ähnlichkeit in Code und Programmstruktur nahe. Ausserdem verwendet Duqu ein gestohlenes digitales Zertifikat das bereits bei Stuxnet für die Infektion von Zielcomputer zum Einsatz kam. Duqu wurde als Spionage-Werkezeug entwickelt mit hoher Zielgenauigkeit und sehr geringer Streubreite. Duqu wurde vermutlich gezielt einzelnen Organisationen „untergeschoben“ um dort Informationen zu sammeln und zu kopieren. Dabei wurden alle durch Duqu zusammengesuchten und an die Angreifer gesendeten Daten jeweils eindeutig dem infizierten Herkunfts-Computer zugeordnet, sodass sich Angreifer ein sehr klares Bild über die IT-Struktur und der laufenden Software der angegriffenen Organisation machen konnten. Duqu verfügte über eine automatische 30 Tage-Selbstabschaltung um ungewollte Weiterverbreitung zu verhindern und wurde im Oktober 2011 durch einen zentralen Befehl der Angreifer weltweit entfernt (der sog. „Kill switch“).