Trojaner Duqu verwendet bislang unbekannte Programmiersprache

Dass Programmierer von Viren, Trojanern und anderer Schadsoftware durchaus kreative Köpfe und keine "Computer-Script-Kiddies" mehr sind, beweist der Trojaner Duqu. Fachleute der IT-Sicherheitsfirma Kaspersky Lab entdeckten, dass Teile des Trojaners in einer bislang unbekannten Programmiersprache geschrieben wurden. Die Schadsoftware stammt offenbar von denselben Programmierern wie der bekannte Stuxnex-Wurm.

Die Hauptaufgabe von Duqu besteht darin, eine Backdoor in einem System einzurichten und damit den Diebstahl von Informationen zu ermöglichen. Duqu selbst wurde erstmals im September 2011 entdeckt, jedoch registrierte Kaspersky Lab bereits im August 2007 Malware, von der mittlerweile bekannt ist, dass sie mit diesem Trojaner in Zusammenhang steht.

Duqus Aufgabe: Diebstahl von Informationen über Industriesteuerungen

Duqu wird von den Kaspersky-Experten mit über einem Dutzend von Sicherheitsvorfällen in Verbindung gebracht. Zielgruppe waren meist Computernutzer im Iran. Der Hauptzweck von Duqu besteht darin, Informationen über Steuerungs- und Kontrollsysteme in der Industrie zu stehlen. Das ließ den Verdacht hochkommen, dass Hacker oder Organisationen aus Israel hinter den Angriffen stecken.

Für die Kommunikation mit seinem Command-and-Control-Server (C&C) verwendet Duqu ein Modul, das Bestandteil der Payload-DLL ist. Kaspersky stellte bei der Analyse dieses Kommunikationsteils fest, dass dieser in einer bislang unbekannten Programmiersprache verfasst ist. Die Fachleute der russischen Firma gaben diesem unbekannten Bereich den Namen "Duqu Framework".

Unbekannte Programmiersprache

Im Gegensatz zu den anderen Teilen des Trojaners wurde das Duqu-Framework nicht in C++ geschrieben und auch nicht mit Visual C++ 2008 von Microsoft kompiliert. Es ist denkbar, dass die Autoren ein selbst erstelltes Framework genutzt haben, um einen dazwischen liegenden C-Code zu generieren. Eine weitere Möglichkeit: Die Programmierer nutzten eine komplett andere Programmiersprache.

Nach Angaben von Kaspersky handelt es sich um eine objektorientierte Sprache. Das Framework ermöglicht der Payload-DLL, unabhängig von anderen Duqu-Modulen zu arbeiten und verbindet sich mit seinem C&C-Server über mehrere Wege. Dazu gehören Windows HTTP, Netzwerke und Proxy-Server. Darüber hinaus kann die DDL HTTP-Serveranfragen vom C&C und zusätzlich schädliche Payloads von anderen Maschinen im Netzwerk verbreiten.

Möglicherweise komplettes Team am Werk

"Gemessen an der Größe des Duqu-Projekts könnten ein komplettes Team für die Erstellung des Duqu-Frameworks sowie spezielle Arbeitsgruppen für die Erstellung der Treiber und der Systeminfektions-Exploits verantwortlich gewesen sein", sagt Alexander Gostev, Chief Security Expert bei Kaspersky Lab. "Die außergewöhnlich hohe Anpassung und Exklusivität, mit der die Programmiersprache entwickelt wurde, deutet darauf hin, dass man nicht nur die Spionageoperationen und die Interaktion mit den C&Cs für Außenstehende verschleiern wollte", so Gostev weiter.

Ein weiteres Ziel bestand möglicherweise darin, die einzelnen Duqu-Teams strikt voneinander zu trennen, die für das Schreiben von zusätzlichen Teilen des Schadprogramms verantwortlich waren. Laut Alexander Gostev zeigt die Erstellung einer eigenen Programmiersprache, wie professionell die Entwickler waren und dass dem Projekt erhebliche finanzielle und labortechnische Ressourcen zur Verfügung standen. Auch wenn Gostev dies nicht explizit sagt, deuten diese Faktoren darauf hin, dass es sich bei Duqu nicht um das Produkt von "normalen" kriminellen Hackern handelt, sondern dass möglicherweise staatliche Einrichtungen wie etwa ein Geheimdienst dahinter stecken.

Kaspersky Lab ruft Programmierer dazu auf, die IT-Sicherheits-Experten des Unternehmens zu informieren, wenn sie das Framework, das Toolkit oder die Programmiersprache erkennen, mit denen ähnliche Code-Konstruktionen erstellt werden können. Informationen können per E-Mail über stopduqu@kaspersky.com an Kaspersky weitergeleitet werden.

Die vollständige Version der Analyse des Duqu-Frameworks findet sich auf folgender Web-Seite von Kaspersky.