Stuxnet, Duqu und Co. stammen von denselben Hintermännern

Plattform "Tilded" entstand vor der Verbreitung von Stuxnet

(PresseBox) (Moskau/Ingolstadt, ) Neue Informationen über die Trojaner Duqu und Stuxnet bestätigen, dass dieselben Cyberkriminellen hinter den beiden Malware-Familien stehen. Das enthüllt die ausführliche Analyse "Stuxnet/Duqu: Evolution der Treiber" von Kaspersky Lab. Die Security-Experten nennen anhand der Analyse von Treibern Indizien, die den Verdacht erhärten, dass bei beiden Schädlingen dieselbe Plattform mit dem Namen "Tilded" verwendet wurde. Diese kann nach Bedarf flexibel für spezifische Ziele angepasst werden. Anhand der Erstellungsdaten der sieben gefundenen Treiberfamilien datiert Kaspersky Lab das Entstehungsdatum der Plattform Tilded auf Ende 2007 bis Anfang 2008.

Anschließend wurden an Tilded im Sommer oder Herbst 2010 entscheidende Veränderungen vorgenommen. Diese wurden zum einen wegen der weiteren Entwicklung des Codes und zum anderen zur Umgehung einer Entdeckung durch AV-Programme getätigt. Zwischen 2007 und 2011 liefen mehrere Projekte zur Entwicklung von Programmen auf der Basis von Tilded. Im Gegensatz von Stuxnet und Duqu sind die übrigen Projekte allerdings bis heute unbekannt.

"Die Treiber von den noch unbekannten Schadprogrammen können nicht den Aktivitäten von Stuxnet und Duqu zugeordnet werden", so Alexander Gostev, Chief Security Expert bei Kaspersky Lab. "Denn eine Verbreitung von Stuxnet hätte eine große Anzahl an Infektionen mit diesen Treibern zur Folge gehabt. Auch Duqu kommt hier wegen des Erstellungsdatums nicht in Frage. Wir gehen davon aus, dass diese Treiber entweder in einer früheren Version von Duqu oder für eine Infektion mit komplett anderen Schadprogrammen verwendet wurden. Höchstwahrscheinlich stecken aber dieselben Hintermänner dahinter."

Die Kaspersky-Experten gehen zudem davon aus, dass die Cyberkriminellen mehrmals im Jahr eine neue Version des Treibers erstellen, der für das Laden der Hauptmodule der schädlichen Programme verwendet wird. Ist ein neuer Angriff geplant, werden mit Hilfe eines speziellen Programms mehrere Parameter des Treibers geändert, zum Beispiel der Registrierungsschlüssel. Je nach Aufgabenstellung kann eine solche Datei auch durch ein legales digitales Zertifikat signiert oder komplett ohne Signatur versendet werden.

Die komplette Analyse "Stuxnet/Duqu: Evolution der Treiber" ist verfügbar unter: http://www.viruslist.com/de/analysis?pubid=200883767

Kaspersky Labs GmbH

Kaspersky Lab ist Europas größtes Unternehmen für Antivirus-Technologie und reagiert im weltweiten Vergleich von Antivirus-Herstellern meist am schnellsten auf IT-Sicherheitsbedrohungen wie Viren, Spyware, Crimeware, Hacker, Phishing-Attacken und Spam. Das Unternehmen gehört zu den weltweit vier erfolgreichsten Herstellern von Sicherheitslösungen für den Endpoint (IDC 2008). Die Produkte von Kaspersky Lab haben sich sowohl bei Endkunden als auch bei KMU, Großunternehmen und im mobilen Umfeld durch ihre erstklassigen Erkennungsraten und kurzen Reaktionszeiten einen Namen gemacht. Neben den Stand-Alone-Lösungen des Security-Experten ist Kaspersky-Technologie Bestandteil vieler Produkte und Dienstleistungen führender IT-Sicherheitsunternehmen.

Weitere Details zum Unternehmen sind unter www.kaspersky.de zu finden. Kurzinformationen von Kaspersky Lab erhalten Sie zudem über www.twitter.com/.... Aktuelles zu Viren, Spyware und Spam sowie Informationen zu anderen IT-Sicherheitsproblemen und Trends sind unter www.viruslist.de abrufbar.

Diese Pressemitteilungen könnten Sie auch interessieren

News abonnieren

Mit dem Aboservice der PresseBox, erhalten Sie tagesaktuell und zu einer gewünschten Zeit, relevante Presseinformationen aus Themengebieten, die für Sie interessant sind. Für die Zusendung der gewünschten Pressemeldungen, geben Sie bitte Ihre E-Mail-Adresse ein.

Es ist ein Fehler aufgetreten!

Vielen Dank! Sie erhalten in Kürze eine Bestätigungsemail.


Ich möchte die kostenlose Pressemail abonnieren und habe die Bedingungen hierzu gelesen und akzeptiert.