Nachdem die Behörden vor kurzem einen Server in Indien vom Netz nahmen, auf dem durch den Computer-Schädling Duqu ausspionierte Daten gesammelt wurden, wichen die hinter Duqu stehenden Cyberkriminellen nun offenbar nach Belgien aus. Dies berichten Sicherheitsexperten, die mittlerweile für die Abschaltung auch dieses Servers sorgten.
Sicherheitsforscher des Unternehmens Symantec berichten, sie hätten ein Duqu-Exemplar analysiert, das mit einem Server des größten belgischen Webhosters Combell Group kommunizierte. Symantec berichtete am vergangenen Dienstag auf seiner Website über diese Entdeckung und informierte Combell über die auf ihrem Server durchgeführten illegalen Aktivitäten.
Auf eine Nachfrage der Nachrichten-Agentur Reuters hin teilte Combell mit, es habe den betreffenden Server nach einer Untersuchung des Sachverhalts am heutigen Donnerstag vom Netz genommen. Ein anonymer Combell-Mitarbeiter erklärte, auf dem Server seien verdächtige Aktivitäten zu beobachten gewesen. So sei versucht worden, alle Daten, die Rückschlüsse auf die Kommunikation des Servers zuließen, zu löschen. Zudem liefen auf dem Server offenbar weitaus weniger verschiedene Programme als auf vergleichbaren Maschinen. Das berichtete John Bumgarner, Chief Technology Officer der US-amerikanischen „Cyber Consequences Unit“. Dieser berichtete, dass die Duqu-Betreiber nach dem Wechsel von Indien nach Belgien das Muster ihrer Kommunikation mit den infizierten Systemen verändert hätten, was die Entdeckung infizierter Maschinen deutlich erschwert hätte.
Derweil berichtet das auf IT-Sicherheitsthemen spezialisierte Blog „Zero Day“, dass ein Patch für die von Duqu zur Infektion benutzte Zero-Day-Schwachstelle im Windows-Kernel nicht für den nächsten Patchday am kommenden Dienstag zu erwarten ist. Es bleibt abzuwarten, ob Microsoft bis zum Dezember-Patchday warten oder womöglich ein außerplanmäßiges Sicherheits-Update veröffentlichen wird. Auch das erwartete Advisory zur Duqu-Schwachstelle wurde bislang nicht veröffentlicht.