Duqu 2.0 offenbart neue Qualität bei Malware-Angriffen auf Top-Führungskräfte

Kaspersky Lab hat heute die Entdeckung einer als Duqu 2.0 bezeichneten Cybperspionagekampagne und einer zugehörigen, neu entdeckten Malware bekannt gegeben. Wie bei dem ersten Duqu und dem Vorgänger Stuxnet besteht ein Zusammenhang mit dem Atomforschungsprogramm im Iran. Die Angreifer nutzten für ihre Operation mindesten drei Zero-Day-Lücken und hatten es außer auf Systeme von Kaspersky Lab offenbar auch auf eine weitere begrenzte Zahl ausgewählter Ziele abgesehen.

Laut Symantec gehörten dazu ein europäischer und ein nordafrikanischer Telekommunikationsanbieter sowie ein Elektronikgeräte-Hersteller aus Südostasien. Infizierte Rechner wurden außerdem auch in den USA, Großbritannien, Indien, Hongkong und Schweden gefunden. Symantec geht davon aus, dass sie als “Sprungbrett” dienten, um die eigentlichen Ziele auszuspähen und von unverdächtiger Seite der zu infiltrieren.

Die Vorfälle wurden jetzt öffentlich gemacht, da gestern für die letzte der drei ausgenutzten Lücken, CVE-2015-2306, von Microsoft am 9. Juni ein Patch bereitgestellt wurde. Sie steckt in Windows-Kernelmodustreibern und kann es Angreifern ermöglichen, die Berechtigungen zu erhöhen. Betroffen sind zahlreiche Plattformen – von Windows Server 2003 über Server 2008, 2012 und 2012 R bis zu Windows Vista, Windows 7 bis zu Windows 8 und Windows 8.1. Der Patch sollte umgehend eingespielt werden, da nun die Lücke auch von anderen Angreifern ausgenutzt werden könnte.

Aufgedeckt wurde Duqu 2.0 allerdings bereits im Frühjahr. Damals bemerkte Kaspersky Lab Verdächtiges bei mehreren unternehmensinternen Systemen. Im Zuge der dadurch ausgelösten Untersuchung kam das Unternehmen einer neuen Malware-Plattform auf die Spur, die laut einer Pressemitteilung zu den Hintermännern von Duqu und damit “einem der am besten ausgebildeten, mysteriösesten und mächtigsten Akteure” im Bereich der sogenannten Advanced Persistent Threats (APT) zugeordnet werden kann.

Die Angreifer seien sich offenbar ziemlich sicher gewesen, dass es unmöglich sei, ihre Attacke aufzudecken und hatten dazu offenbar auch guten Grund, denn laut Kaspersky umfasste er “einige einzigartige und bisher unbekannte Merkmale und hinterließ so gut wie keine Spuren.” Außerdem seien mindestens drei zuvor unbekannte Sicherheitslücken dafür ausgenutzt worden.

Der erste Schritt der Angreifer war es, sich durch eine davon Domain-Administrator-Rechte zu verschaffen. Die Malware verteilte sich dann durch MSI-Dateien (Microsoft Software Installer Dateien), wie sie regelmäßig auch legitim von Systemadministratoren genutzt werden um auf Windows-Rechnern Software per Fernzugriff einzurichten. Kaspersky teilt fast anerkennend mit: “Der Cyberangriff hinterließ weder Dateien auf Festplatten noch änderte er Systemeinstellungen, was eine Entdeckung extrem schwierig machte. Der Ansatz und die Art und Weise des Vorgehens der Duqu 2.0-Guppe ist eine Generation weiter als alles andere, was in der Welt der APTs bisher entdeckt wurde.”

“Um im Verborgenen operieren zu können, ‘residierte’ die Malware nur im Arbeitsspeicher des Kernels. Anti-Malware-Lösungen könnten so Probleme haben, diese zu entdecken. Um weitere Befehle zu erhalten, verbindet sich die Malware auch nicht direkt mit den Command-and-Control-Servern. Stattdessen infizieren die Angreifer Netzwerk-Gateways und Firewalls, indem sie schadhafte Treiber installieren, die sämtlichen Datenverkehr der internen Netzwerke zu den Servern der Angreifer vermitteln”, führt Costin Raiu, Director Global Research and Analysis Team von Kaspersky Lab, zur Funktionsweise der Malware aus.

Den Experten des Unternehmens zufolge lässt sich bei einigen der neuen Infektionen mit Duqu 2.0, die 2014 und 2015 stattfanden, ein Zusammenhang mit den Konferenzen und Veranstaltungsorten der Verhandlungen über ein Nuklearabkommen zwischen den 5+1-Staaten und dem Iran herstellen. Die Hintermänner von Duqu 2.0 starteten da und bei anderen Gelegenheiten ihre Attacken an Konferenzorten, an denen sich hochrangige Würdenträger und Politiker trafen.

Die Analyse des Angriffs auf die Systeme von Kaspersky Lab ist noch nicht vollständig abgeschlossen. Im Wesentlichen war aber nach derzeitigem Wissenstand das Hauptziel der Angreifer “das Ausspionieren der Technologien von Kaspersky Lab, fortlaufender forensischer Untersuchungen sowie interner Prozesse”. Der Anbieter geht davon aus, dass weder Kunden noch Partner gefährdet sind und auch keine Auswirkungen auf Produkte, Technologien und Services des Unternehmens zu befürchten sind.

“Das Ausspionieren von Cybersicherheitsunternehmen ist eine sehr gefährliche Tendenz”, merkt Eugene Kaspersky, CEO von Kaspersky Lab, an. “Früher oder später werden Terroristen und professionelle Cyberkriminelle in ähnlich zielgerichteten Angriffen implementierte Technologien prüfen und einsetzen. Und das ist ein sehr ernstzunehmendes und wahrscheinliches Szenario.”

Es führe kein Weg daran vorbei, solche Vorfälle zu berichten, so Kaspersky weiter. “Das hilft, um das Sicherheits-Design von Unternehmensinfrastruktur zu verbessern und ein klares Signal an die Entwickler dieser Malware zu senden: alle illegalen Operationen werden gestoppt und verfolgt. Der einzige Weg, die Welt zu beschützen, ist es, Strafverfolgungsbehörden und Sicherheitsunternehmen zu haben, die solche Angriffe offen bekämpfen. Wir werden Angriffe immer veröffentlichen, egal welchen Ursprung sie haben.”

Kaspersky-Produkte erkennen Duqu 2.0 nun als “HEUR:Trojan.Win32.Duqu2.gen”. Symantec bezeichnet die Malware als W32.Duqu.B. Seine unter den Namen Symantec und Norton vertriebenen Produkte erkennen sie ebenfalls. Alle anderen relevanten Anbieter werden erwartungsgemäß umgehend nachziehen.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.