Duqu 2.0: Kaspersky wurde selbst Opfer eines Cyberangriffs

Das Sicherheitsunternehmen Kaspersky Lab wurde selbst Opfer eines Cyberangriffs. Der erfolgreiche Angriff nutzte Unternehmensangaben zufolge bis zu drei Zero-Day-Sicherheitslücken aus und der Programmcode der Spyware existiert ausschließlich im Arbeitsspeicher der betroffenen Systeme, was die Identifizierung erschwerte.

Die Entdeckung des Cyberangriffs im Frühjahr dieses Jahres wurde durch mehrere Umstände erschwert. Einerseits nutzten die Angreifer Zero-Day-Sicherheitslücken aus, von denen die letzte erst am 9. Juni 2015 durch Microsoft behoben wurde. Nach einer ersten Infektion im vergangenen Jahr in einer Kaspersky-Niederlassung im asiatisch-pazifischen Raum verbreitete sich die Schadsoftware über MSI-Installationsdateien, die auch von IT-Administratoren zur Einrichtung von Software per Fernzugriff eingesetzt werden. Der eigentliche Cyberangriff selbst hinterließ weder Dateien auf Systemplatten noch änderte er Systemeinstellung. Andererseits kontaktiert die Schadsoftware zur Kommunikation nicht direkt die Command-and-Control-Server, sondern infiziert durch die Installation schadhafter Treiber Gateways und Firewalls, „die sämtlichen Datenverkehr der internen Netzwerke zu den Servern der Angreifer vermitteln“, wie Costin Raiu, Entwicklungsdirektor von Kaspersky Lab erläutert.

Die Angreifer sollen in erster Linie an Informationen über neu entwickelte Technologien des Sicherheitsunternehmens und damit insbesondere an Zielen innerhalb der Forschungs- und Entwicklungsabteilung interessiert gewesen sein. Andere Abteilungen, etwa der Vertrieb oder die Rechtsabteilung standen nicht im Fokus der Attacke. Kaspersky betont ausdrücklich, dass die erbeuteten Informationen „in keinster Weise entscheidend für den Betrieb der Kaspersky-Produkte“ seien.

Kaspersky-Informationen zufolge war das Sicherheitsunternehmen nicht das einzige Ziel der als Duqu 2.0 bezeichneten Schadsoftware. Kaspersky bescheinigt der hinter der Spyware stehenden Gruppierung ausgeprägte geopolitische Interessen: Neben nicht näher beschriebenen Infektionen im Nahen Osten und Asien standen Infektionen im Zusammenhang mit den Veranstaltungsorten und Konferenzen der Nuklearverhandlungen zwischen der 5+1-Gruppe und dem Iran. Im Rahmen der Verhandlungen soll der seit Langem andauernde Atomstreit zwischen den westlichen Staaten und dem Iran beigelegt werden. Ziel einer weiteren, ähnlichen Attacke waren auch Veranstaltung anlässlich des 70. Jahrestags der Befreiung des Konzentrationslagers Auschwitz-Birkenau.

Über die Urheber des Angriffes bestehen aktuell nur Vermutungen. Kaspersky Labs zufolge steckt hinter der Cyberattacke jedoch die selbe Gruppierung, die 2011 den Duqu-Angriff durchführte – dafür sprechen Ähnlichkeiten im Code. Duqu wiederum gilt als Nachfolger des Stuxnet-Schadprogramms, dessen Aufgabe in der Störung von Anlagen des iranischen Atomprogramms vermutet wird. Die Gruppierung investierte der Komplexität der Duqu-2.0-Schadsoftware zufolge viel Zeit und Know-How in die Entwicklung, was die Beteiligung eines staatlichen Akteurs wahrscheinlich erscheinen lässt. Informationen des Wall Street Journals zufolge lassen technische Details den Schluss zu, dass Israel hinter der Attacke steckt.

Kaspersky selbst betont, dass die veröffentlichten Informationen vorläufig sind – das Unternehmen hat keinen Zweifel daran, dass der Angriff gegen viele weitere Ziele gerichtet ist. Eine ausführliche technische Analyse der Duqu-2.0-Schadsoftware hat der Softwarehersteller auf Securelist veröffentlicht.