Duqu 2.0: Kaspersky meldet kaum aufspürbaren Hack seiner Systeme

Der Sicherheitsanbieter Kaspersky Lab ist selbst das Ziel eines Cyberangriffs geworden. Er erfolgte im Rahmen der als Duqu 2.0 bezeichneten Cyberspionagekamapgne mit einer zugehörigen, bisher unbekannten Malware, „die so gut wie keine Spuren hinterließ“, wie das russische Unternehmen mitteilt.

Schema der Angriffsstruktur von Duqu 2.0 (Grafik: Kaspersky Lab).Wie bei dem ersten Duqu-Trojaner und dem Vorgänger Stuxnet besteht offenbar ein Zusammenhang mit dem Atomforschungsprogramm im Iran. Die Angreifer nutzten für ihre Operation mindestens drei Zero-Day-Lücken aus und hatten es außer auf Systeme von Kaspersky Lab offenbar auch auf eine begrenzte Zahl weiterer ausgewählter Ziele abgesehen.

Laut Symantec gehörten dazu ein europäischer und ein nordafrikanischer Telekommunikationsanbieter sowie ein Elektronikgeräte-Hersteller aus Südostasien. Infizierte Rechner wurden außerdem in den USA, Großbritannien, Indien, Hongkong und Schweden gefunden. Symantec geht davon aus, dass sie als „Sprungbrett“ dienten, um die eigentlichen Ziele auszuspähen und von unverdächtiger Seite zu infiltrieren.

Kaspersky hat die Vorfälle jetzt öffentlich gemacht, da Microsoft am Dienstag die letzte der drei ausgenutzten Lücken, CVE-2015-2306, mit einem Patch geschlossen hat. Sie steckt in den Windows-Kernelmodustreibern und ermöglicht es Angreifern, die Berechtigungen zu erhöhen. Betroffen sind zahlreiche Plattformen – von Windows Server 2003 über Server 2008, 2012 und 2012 R2 bis zu Windows Vista, 7, 8 und 8.1. Der Patch sollte umgehend eingespielt werden, da nun die Lücke auch von anderen Angreifern ausgenutzt werden könnte.

Aufgedeckt wurde Duqu 2.0 allerdings schon im Frühjahr. Damals bemerkte Kaspersky Lab Verdächtiges bei mehreren unternehmensinternen Systemen. Im Zuge der dadurch ausgelösten Untersuchung kam es einer neuen Malware-Plattform auf die Spur, die laut einer Pressemitteilung zu den Hintermännern von Duqu und damit „einem der am besten ausgebildeten, mysteriösesten und mächtigsten Akteure“ im Bereich der sogenannten Advanced Persistent Threats (APT) zugeordnet werden kann. Die Angreifer seien sich offenbar ziemlich sicher gewesen, dass es unmöglich sei, ihre Attacke aufzudecken.

In einem ersten Schritt verschafften sie sich durch Ausnutzen einer der Zero-Day-Schwachstellen Domain-Administratorrechte. Die Malware verteilte sich dann durch MSI-Dateien („Microsoft Software Installer“), wie sie regelmäßig auch legitim von Systemadministratoren genutzt werden, um auf Windows-Rechnern Software per Fernzugriff einzurichten. Kaspersky teilt fast anerkennend mit: „Der Cyberangriff hinterließ weder Dateien auf Festplatten noch änderte er Systemeinstellungen, was eine Entdeckung extrem schwierig machte. Der Ansatz und die Art des Vorgehens der Duqu-2.0-Guppe ist eine Generation weiter als alles andere, was in der Welt der APTs bisher entdeckt wurde.“

Um im Verborgenen operieren zu können, „residierte“ die Malware nur im Arbeitsspeicher des Kernels, wie Costin Raiu, Direktor des weltweiten Forschungs- und Analyseteams von Kaspersky Lab, erklärt. „Anti-Malware-Lösungen könnten so Probleme haben, diese zu entdecken. Um weitere Befehle zu erhalten, verbindet sich die Malware auch nicht direkt mit den Command-and-Control-Servern. Stattdessen infizieren die Angreifer Netzwerk-Gateways und Firewalls, indem sie schadhafte Treiber installieren, die sämtlichen Datenverkehr der internen Netzwerke zu den Servern der Angreifer vermitteln.“

Kaspersky-Produkte erkennen Duqu 2.0 nun als „HEUR:Trojan.Win32.Duqu2.gen“ (Screenshot: Kaspersky Lab).Den Experten von Kaspersky zufolge lässt sich bei einigen der neuen Infektionen mit Duqu 2.0, die 2014 und 2015 auftraten, ein Zusammenhang mit den Konferenzen und Veranstaltungsorten der Verhandlungen über ein Nuklearabkommen zwischen den 5+1-Staaten und dem Iran herstellen. Die Hintermänner von Duqu 2.0 starteten da und bei anderen Gelegenheiten ihre Attacken an Konferenzorten, an denen sich hochrangige Würdenträger und Politiker trafen.

Die Analyse des Angriffs auf die Systeme von Kaspersky Lab ist noch nicht vollständig abgeschlossen. Im Wesentlichen war aber nach derzeitigem Wissenstand das Hauptziel der Angreifer „das Ausspionieren der Technologien von Kaspersky Lab, fortlaufender forensischer Untersuchungen sowie interner Prozesse“. Der Anbieter geht davon aus, dass weder Kunden noch Partner gefährdet und auch keine Auswirkungen auf Produkte, Technologien und Services des Unternehmens zu befürchten sind.

„Das Ausspionieren von Cybersicherheitsunternehmen ist eine sehr gefährliche Tendenz“, merkt Kaspersky-CEO Eugene Kaspersky an. „Früher oder später werden Terroristen und professionelle Cyberkriminelle in ähnlich zielgerichteten Angriffen implementierte Technologien prüfen und einsetzen. Und das ist ein sehr ernstzunehmendes und wahrscheinliches Szenario.“ Es führe kein Weg daran vorbei, solche Vorfälle zu berichten. „Das hilft, um das Sicherheitsdesign von Unternehmensinfrastruktur zu verbessern und ein klares Signal an die Entwickler dieser Malware zu senden: Alle illegalen Operationen werden gestoppt und verfolgt. Der einzige Weg, die Welt zu beschützen, ist es, Strafverfolgungsbehörden und Sicherheitsunternehmen zu haben, die solche Angriffe offen bekämpfen. Wir werden Angriffe immer veröffentlichen, egal welchen Ursprung sie haben.“

Kaspersky-Produkte erkennen Duqu 2.0 nun als „HEUR:Trojan.Win32.Duqu2.gen“. Symantec bezeichnet die Malware als „W32.Duqu.B„. Seine unter den Namen Symantec und Norton vertriebenen Produkte erkennen sie ebenfalls. Alle anderen relevanten Anbieter werden mutmaßlich umgehend nachziehen.

[mit Material von Peter Marwan, ITespresso.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de