Technik

Duqu-Malware auf eigenen Rechnern Hacker greifen Kaspersky an

Kaspersky_APT.jpg

So auffallend geht "Duqu 2.0" nicht vor, er ist eher ein Ninja-Trojaner.

(Foto: Kaspersky)

Antivirus-Software-Hersteller Kaspersky entdeckt auf eigenen Rechnern eine besonders raffinierte Malware, die fast unsichtbar agiert. Sie soll ein Nachfolger des berüchtigten Duqu-Trojaners und vielleicht gefährlicher als alle anderen bekannten Cyber-Waffen sein.

Für Hacker ist es natürlich sehr verlockend, Hersteller von Antivirus-Software anzugreifen und Informationen über deren Such- und Schutzmaßnahmen zu bekommen. Dass dies Cyberkriminelle tatsächlich versuchen und sich mit einem ihrer gefährlichsten Gegner direkt anlegen könnten, erschien bisher allerdings als eher unwahrscheinlich. Doch jetzt hat Kaspersky mitgeteilt, es habe eine Attacke auf sein Unternehmens-Netzwerk stattgefunden. Die dafür eingesetzte Malware soll eine Weiterentwicklung des berüchtigten Duqu-Trojaners sein, der im Herbst 2011 für Aufsehen sorgte und als "kleiner Bruder von Stuxnet" galt. Die Aufgabe des Schädlings war damals offenbar, Industrieanlagen für weitere Angriffe auszuspionieren.

Die Spuren der "Duqu 2.0" getauften neuen Malware entdeckten Kaspersky-Mitarbeiter auf einem Prototypen, mit dem das Unternehmen Abwehrmechanismen gegen Attacken entwickelt, die über längere Zeiträume auf höchstem technischen Niveau ausgeführt werden. Solche Bedrohungen werden auch APT (Advanced Persistent Threat) genannt. Die Untersuchung des Vorfalls habe zu dem Ergebnis geführt, dass dieselbe Gruppe hinter der Malware steckt, die auch für die Duqu-Attacken verantwortlich war, schreibt Kaspersky.

Duqu 2.0 sei weiter entwickelt als alles, was sie bisher gesehen hätten, so die Sicherheitsexperten. Sie gehen davon aus, "dass sich die Angreifer ziemlich sicher waren, dass es unmöglich sei, diese Cyberattacke aufzudecken." Der Angriff über bis zu drei Zero-Day-Lücken habe so gut wie keine Spuren hinterlassen. Er habe weder Dateien auf Festplatten hinterlassen, noch Systemeinstellungen verändert, was eine Entdeckung extrem schwierig gemacht habe.

Welcher Staat steckt dahinter?

Kasperskys Forensiker fanden heraus, dass auch westliche Länder und Staaten im Nahen Osten und in Asien Ziele von Duqu 2.0 waren. Besonders bemerkenswert sei, dass einige der Infektionen aus den Jahren 2014 und 2015 im Zusammenhang mit den Konferenzen und Veranstaltungsorten der Verhandlungen über ein Nuklearabkommen zwischen den 5+1-Staaten und dem Iran gestanden hätten, schreibt Kaspersky. Neben den Atomverhandlungen seien auch die Veranstaltungen anlässlich des 70. Jahrestags der Befreiung des Konzentrationslagers Auschwitz-Birkenau das Ziel einer ähnlichen Attacke der Gruppe gewesen.

Kaspersky geht davon aus, dass ein Staat für Duqu 2.0 verantwortlich ist, Kosten und Aufwand für solche Aktionen seien enorm. Welche Regierung es konkret in Verdacht hat, teilte das russische Unternehmen nicht mit. Die Angriffsziele lassen einige Rückschlüsse zu, konkrete Beweise gibt es aber nicht.

Kaspersky ist "zuversichtlich, dass seine Kunden und Partner ungefährdet sind, und dass der Angriff keinen Einfluss auf die Produkte, Technologien und Services des Unternehmens hat." Die letzte verbliebene Zero-Day-Lücke habe Microsoft am 5. Juni geschlossen.

Quelle: n-tv.de

Mehr zum Thema