»Duqu 2.0«-Malware im Vergleich zur Erstlingsversion von 2011 (Quelle: Kaspersky Lab)Dass ein Anti-Malware-Spezialist selbst von Schadprogrammen angegriffen wird, liegt in der Natur der Sache. Aber ein jetzt aufgedeckter Vorfall rund um »Duqu 2.0« – wie die neue Malware-Plattform genannt wird – geht noch mal ein paar deutliche Schritte weiter. Denn mit dem neuen Schadprogramm gelang tatsächlich ein Einbruch in das Netzwerk des Anti-Malware-Spezialist Kaspersky Lab. Entwendet werden sollten offenbar Technologieunterlagen über neueste Kaspersky-Produkte. Duqu 2.0 wurde anscheinend vor allem für einen Zweck konzipiert: Als Spionage-Progarmm soll es vor allem Dokumente, Technologien und geheime Nachrichten von Unternehmen und politischen Organisationen klauen – und das alles hochgradig unbemerkt.

Kaspersky Lab geht davon aus, dass sich die Angreifer ziemlich sicher waren, dass es unmöglich sei, diese Cyberattacke aufzudecken. Der Angriff umfasste einige einzigartige und bisher unbekannte Merkmale, und hinterließ so gut wie keine Spuren. Der Angriff nutzte gleich drei Zero-Day-Sicherheitslücken.

Anzeige

So hinterhältig greift »Duqu 2.0« an

»Duqu 2.0«-Malware verteilt sich im Netzwerk durch MSI-Dateien (Bild: Kaspersky Lab)Nachdem die Attacke Domain-Administrator-Privilegien erhalten hat, verteilte sich die Malware im Netzwerk durch MSI-Dateien (Microsoft Software Installer), die in der Regel von Systemadministratoren genutzt werden, um Software auf Windows-Rechnern per Fernzugriff einzurichten. Der Cyberangriff hinterlässt weder Dateien auf Festplatten noch änderte er Systemeinstellungen, was eine Entdeckung extrem schwierig machte.

Der Ansatz und die Art und Weise des Vorgehens der Duqu-2.0-Guppe ist nach Einschätzung von Kaspersky eine Generation weiter als alles andere, was in der Welt der APTs (Advanced Persistent Threat – Cyberbedrohung) bisher entdeckt wurde. »Diese Malware-Plattform kann einem der am besten ausgebildeten, mysteriösesten und mächtigsten Akteure der APT-Welt zugeordnet werden«, lautet die hausinterne Einschätzung von Kaspersky Lab.

»Duqu 2.0«-Angriff auch auf politische Organisationen

Forensiker von Kaspersky Lab fanden heraus, dass Kaspersky Lab nicht das einzige Ziel. Andere Opfer wurden in westlichen Ländern sowie in Ländern des Nahen Ostens und Asiens gefunden. Besonders bemerkenswert war, dass einige der neuen Infektionen aus den Jahren 2014 und 2015 im Zusammenhang mit den Konferenzen und Veranstaltungsorten der Verhandlungen über ein Nuklearabkommen zwischen den 5+1-Staaten und dem Iran standen.

Es scheint laut Kaspersky Lab, der Akteur hinter Duqu 2.0 startete Attacken an den Konferenzorten, in denen die hochrangigen Gespräche stattgefunden haben. Neben den Atomverhandlungen waren auch die Veranstaltungen anlässlich des 70. Jahrestags der Befreiung des Konzentrationslagers Auschwitz-Birkenau das Ziel einer ähnlichen Attacke der Gruppe Duqu 2.0. Die Treffen im Rahmen dieser Veranstaltungen wurden von ausländischen Würdenträgern und Politikern besucht.

Sicherheitsaudit ergab: Duqu suchte nach Technologien; Vertriebs- und Marketing-Infos waren nicht interessant

Kaspersky Lab führte ein initiales Sicherheitsaudit sowie eine Analyse des Angriffs durch. Neben dem Diebstahl geistigen Eigentums wurden keine weiteren Indikatoren einer maliziösen Aktivität entdeckt. Wie die Analyse verdeutlichte, war das Ausspionieren der Technologien von Kaspersky Lab, fortlaufender forensischer Untersuchungen sowie interner Prozesse das Hauptziel der Angreifer. Kaspersky Lab ist zuversichtlich, dass seine Kunden und Partner ungefährdet sind, und dass der Angriff keinen Einfluss auf die Produkte, Technologien und Services des Unternehmens hat.

Kaspersky Lab geht mit hoher Gewissheit davon aus, dass das vorrangige Angriffsziel darin bestand, Informationen über neueste Technologien des Unternehmens zu erlangen. Die Angreifer waren besonders an Details bestimmter Produktinnovationen wie »Kaspersky Secure Operating System«, »Kaspersky Fraud Prevention«, »Kaspersky Security Network« sowie Anti-APT-Lösungen und -Services interessiert. Abteilungen außerhalb der Forschungs- und Entwicklungsabteilung wie Vertrieb, Marketing, Unternehmenskommunikation oder Rechtsabteilung standen nicht im Interesse der Angreifer.

Malware residiert nur im Arbeitsspeicher des Kernels

Fieser Angriff: Duqu-2.0-MSI-Struktur (Bild: Kaspersky Lab)»Die Akteure hinter Duqu sind eine der am besten ausgebildeten und mächtigsten APT-Gruppen. Und sie haben alles getan, um zu versuchen, unter dem Radar zu bleiben«, sagt Costin Raiu, Director Global Research and Analysis Team von Kaspersky Lab. »Diese hoch entwickelte Attacke nutzte bis zu drei Zero-Day-Exploits. Das ist sehr eindrucksvoll. Die Kosten müssen sehr hoch gewesen sein. Um im Verborgenen operieren zu können, ‚residierte’ die Malware nur im Arbeitsspeicher des Kernels. Anti-Malware-Lösungen könnten so Probleme haben, diese zu entdecken. Um weitere Befehle zu erhalten, verbindet sich die Malware auch nicht direkt mit den Command-and-Control-Servern. Stattdessen infizieren die Angreifer Netzwerk-Gateways und Firewalls, indem sie schadhafte Treiber installieren, die sämtlichen Datenverkehr der internen Netzwerke zu den Servern der Angreifer vermitteln.«

Kaspersky Lab hat seinen Produkten Routinen zur Erkennung und Bekämpfung von Duqu 2.0 hinzugefügt. Die Lösungen erkennen Duqu 2.0 als HEUR:Trojan.Win32.Duqu2.gen.