Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Symantec: Stuxnet-makers brengen nieuwe malware in circulatie

Door , 28 reacties

Symantec heeft malware geanalyseerd die afkomstig lijkt van de Stuxnet-makers. De malware, Duqu geheten, zou echter niet uit zijn op sabotage van industriŽle systemen maar op data-inzameling om zo nieuwe aanvallen uit te kunnen voeren.

Beveiligingsonderzoekers van Symantec hebben een week geleden van een niet nader genoemd onderzoeksinstituut een malware-sample gekregen die sterk zou lijken op Stuxnet. De code zou zijn gevonden bij meerdere Europese bedrijven die industriële controlesystemen ontwikkelen. De malware is Duqu genoemd omdat het bestanden maakt met '~DQ' in de bestandsnaam.

Volgens Symantec is de malware inderdaad vrijwel identiek aan Stuxnet, waaruit het bedrijf de conclusie trekt dat de makers direct toegang moeten hebben gehad tot de broncode van de beruchte malware, en niet alleen de binaries. Duqu zou echter een ander doel hebben dan het saboteren van zogenaamde scada-systemen; de Stuxnet-worm richtte zich expliciet op de nucleaire installaties van Iran.

Symantec omschrijft Duqu, waarvan tot nu toe twee varianten zijn ontdekt, als een niet-replicerende remote access trojan die uit is op het vergaren van informatie bij een selecte groep bedrijven. Via de Duqu-malware kunnen de aanvallers onder andere keyloggers installeren, evenals andere componenten, om zo toegang tot bedrijfsnetwerken te krijgen.

De kwaadaardige software zou via http- en https-verbindingen communiceren met de thuisbasis, waarbij de gestolen gegevens als jpg-bestanden zijn vermomd. Na 36 dagen zou Duqu zichzelf van een besmet systeem verwijderen. Onduidelijk is nog hoe de malware de doelwitten heeft kunnen bereiken.

Opvallend is dat de malware net als Stuxnet, dat voorzien was van een Realtek-signature, gebruikmaakt van een destijds geldig certificaat dat door VeriSign is uitgegeven aan het in Taiwan zetelende bedrijf C-Media. Volgens Symantec is de betreffende sleutel gestolen van het bedrijf en niet afzonderlijk gegenereerd. Inmiddels is het certificaat op 14 oktober door VeriSign, dat onderdeel uitmaakt van Symantec, ingetrokken.

Door Dimitri Reijerman

Redacteur

19-10-2011 • 10:20

28 Linkedin Google+

Lees meer


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*