Duqu

Duqu ist eine Malware, die wahrscheinlich auf der Tilded-Plattform entstanden ist, ebenso wie Stuxnet. 2015 wurde ein mutmaßlicher Nachfolger dieser Malware namens „Duqu 2.0“ entdeckt, mit dem unter anderem die Verhandlungen über das iranische Nuklearprogramm in Genf 2014 ausspioniert worden sein sollen.

Keyfacts

  • entdeckt: September 2011
  • sicher aktiv seit: November 2010
  • letzte Aktualisierung: Oktober 2011
  • Verbreitung: ausschließlich auf Rechner von 5 Technologie- und Forschungsorganisationen mit Sitz in Frankreich, Niederlande, Schweiz, Ukraine, Indien, Iran, Sudan, Vietnam
  • Infektion und Replikation: modifiziertes WORD-Dokument für Infektion, Weiterverbreitung über Windows-Netzwerkumgebung
  • Hauptziel: gezielte Signal Intelligence und Spionage von Organisationen
  • Vermutliche Herkunft: unbekannt, aber vermutlich auf gleiche Programmierplattform wie Stuxnet entstanden (siehe „Tilded“)

Relevante Dokumente

Duqu_SpreadBild-Quelle: DailyTech (offline, Original Link war http://www.dailytech.com/Nasty+Duqu+Worm+Exploits+Same+Microsoft+Office+Bug+as+Stuxnet/article23174.htm)

Duqu ist eine Malware, die vermutlich auch durch das Stuxnet-Team entwickelt wurde, zumindestens legt diesen Schluß die hohe Ähnlichkeit in Code und Programmstruktur nahe. Ausserdem verwendet Duqu ein gestohlenes digitales Zertifikat das bereits bei Stuxnet für die Infektion von Zielcomputer zum Einsatz kam. Duqu wurde als Spionage-Werkezeug entwickelt mit hoher Zielgenauigkeit und sehr geringer Streubreite. Duqu wurde vermutlich gezielt einzelnen Organisationen „untergeschoben“ um dort  Informationen zu sammeln und zu kopieren. Dabei wurden alle durch Duqu zusammengesuchten und an die Angreifer gesendeten Daten jeweils eindeutig dem infizierten Herkunfts-Computer zugeordnet, sodass sich Angreifer ein sehr klares Bild über die IT-Struktur und der laufenden Software der angegriffenen Organisation machen konnten. Duqu verfügte über eine automatische 30 Tage-Selbstabschaltung um ungewollte Weiterverbreitung zu verhindern und wurde im Oktober 2011 durch einen zentralen Befehl der Angreifer weltweit entfernt (der sog. „Kill switch“).