DuQu-Hacker übersehen Linux Log-Files

Das Kapitel DuQu scheint vorbei zu sein. Die Hacker haben ihre Spionage-Aktion beendet, die Server gelöscht – aber dabei einige Einträge übersehen, wie Sicherheitsforscher jetzt mittteilen.

12 C&C-Server (Command and Control) für DuQu waren bekannt. Die standen unter anderem in Belgien, Indien und Deutschland. Und diese sind bereits am 20. Oktober allesamt gelöscht worden, wie ein Sicherheitsforscher des Moskauer Kaspersky Lab mitteilt. Das war zwei Tage nachdem Symantec eine Analyse des Trojaner veröffentlicht hatte und dabei auf Parallelen zu Stuxnet hingewiesen hat. Einige dieser Server jedoch waren mindestens seit dem Jahr 2009 unter der Kontrolle der Hacker.

Die Standorte der DuQu-Server. Quelle: Kaspersky
Die Standorte der DuQu-Server. Quelle: Kaspersky

Wie auch der hochentwickelte Stuxnet-Wurm, der auf das iranische Atomprogramm zielte, soll, wie Kasperky jetzt mitteilt, auch DuQu von einer Organisation mit staatlicher Rückendeckung stammen. DuQu jedoch richtet sich nicht gegen eine Uran-Zentrifuge, sondern war offenbar nur darauf aus, neue weiche Ziele ausfindig zu machen. Doch auch wenn jetzt offenbar die gesamte Infrastruktur abgebaut ist, könnte es noch immer eine neue Variante geben.

Die Hacker haben nicht nur sämtliche Server gesäubert, sondern auch geprüft, ob das Löschen sämtlicher Dateien auch erfolgreich war. Für den Betrieb der Server hatten die Hacker stets mit der Internet-Verschlüsselung OpenSSH gearbeitet und sämtliche Server auf den neuen Stand gebracht. Möglicherweise haben sie die Server über ein bisher unbekanntes Leck in OpenSSH verwendet, um die Server zu kapern.

Die Hacker arbeiteten mit CentOS, aber waren offenbar keine echten Linux-Profis. Denn auf den Servern in Vietnam und Deutschland übersahen die Hacker in ihrer Eile einige Logs der SSH- und Bash-Sitzungen auf den Servern. “Das hat uns ehrlich gesagt überrascht und es ist ein exzellentes Lehrstück über Linux und die Interna des ext3-File-Systems”, hält der Kaspersky-Forscher Vitaly Kamluk fest. Es bedeutet nicht, dass wenn man eine Datei zerstört, man auch gleichzeitig sämtliche Spuren verwischt. “Das rührt daher, dass Linux ständig die Dateien umzieht, um eine Fragmentierung zu verhindern.”

Die beiden Server scheinen zwar keine zentrale Rolle gespielt zu haben, aber der von den Hackern in Deutschland gekaperte Server wurde auf jeden Fall am 23. November 2009 zum ersten Mal genutzt. Auf die Server in Vietnam wurde im Juli und Oktober zugegriffen. Mit der gleichen Technik konnte Kaspersky auch herausfinden, dass die Hacker auf die aktuellere Version von OpenSSH von 4.3 auf 5.8 aktualisierten. Sie fanden zudem heraus, dass die Hacker auf das sshd_config Manual zugriffen und mussten die Dokumentation auf dem Linux ftp-Client bemühen. Auch mit den Befehlen für die Linux iptables hatten die Hacker offenbar Probleme.

Die Forscher haben jedoch laut eigenen Angaben erst einen Bruchteil der kompromittierten Server analysiert und hoffen auf weitere Informationen. Vorerst erbeten sich die Sicherheitsexperten aber noch Hinweise von Linux-Experten, warum jede übernommene Maschine als erstes die Version 5.8 von OpenSSH aufgespielt bekommen hat und ob es einen Zusammenhang zwischen den Updates und der Modifikation von ‘GSSAPIAuthentikation yes’ geben könnte.