DoublePulsar ist eine Installationssoftware für Backdoor-Programme, die von der Equation Group der National Security Agency (NSA) entwickelt und von The Shadow Brokers Anfang 2017 geleakt wurde. Mehr als 200.000 Computer mit Microsoft Windows wurden innerhalb weniger Wochen damit infiziert und im Mai 2017 für EternalBlue sowie den Angriff der Ransomware WannaCry benutzt.
Sean Dillon, ein Analytiker der Sicherheitsfirma RiskSense Inc., der als erster DoublePulsar zerlegt und untersucht hatte, sagte, dass die NSA-Exploits „10-mal übler“ seien als die Sicherheitslücke Heartbleed und verwendeten DoublePulsar als primäre Nutzdaten (Payload). DoublePulsar läuft im Kernel-Modus, der Hackern im hohen Maß Kontrolle über das Computersystem erlaubt. Sobald DoublePulsar installiert ist, hat es drei Befehle: ping, kill, und exec, wobei letzteres verwendet werden kann, um Malware auf das System nachzuladen.
Einzelnachweise
