Spionage-Trojaner Duqu 2.0

Kaspersky entdeckt Cyberattacke auf eigene Systeme

Kaspersky Labs sind Opfer einer Cyberattacke geworden. Im eigenen Firmennetzwerk entdeckten die Sicherheitsspezialisten eine Spionage-Software, die sie Duqu 2.0 tauften. Das Unternehmen vermutet staatliche Angreifer hinter der Attacke. Auch hochrangige Ziele in der Politik sollen betroffen sein.

"Duqu is back" titelt Kaspersky Labs in seinem neuen Bericht über eine Cyberattacke auf die eigenen Systeme. Im Frühjahr 2015 stießen Mitarbeiter des russischen IT-Sicherheitsunternehmens auf Malware-Spuren in ihrem eigenen Firmennetzwerk. Bei der anschließenden intensiven Untersuchung der eigenen Systeme fanden die Spezialisten eine ausgeklügelte Spionage-Software mit starker Ähnlichkeit zum Stuxnet-Nachfolger Duqu, dessen Existenz 2011 bekannt wurde. Duqu wird nach den Enthüllungen von Whistleblower Edward Snowden wie Stuxnet mit der NSA und Israel in Verbindung gebracht.

Laut dem Bericht von Kaspersky Labs nutzt der Duqu 2.0 getaufte Spionage-Trojaner Zero-Day-Sicherheitslücken aus und verschafft sich auf diese Weise die Rechte eines Domain-Adminstrators. Anschließend breitet sich die Malware über MSI-Dateien (Microsoft Software Installer) im Netzwerk aus und infiziert weitere Systeme. Dabei soll Duqu 2.0 mit bisher unbekannten Taktiken seine Spuren äußerst geschickt verwischt haben, so dass der Trojaner nur äußerst schwer zu entdecken war. Insgesamt schätzen die Experten den Entwicklungsaufwand für Duqu 2.0 auf etwa 50 Millionen US-Dollar.

Lesetipp: Die besten Antivirus-Programme 2015 im Vergleichs-Test

Wie Kaspersky Labs außerdem herausfand, war die Sicherheitsfirma nicht das einzige Opfer der Duqu-2.0-Attacke. Man habe andere infizierte Systeme entdeckt - sowohl in westlichen Ländern als auch im Mittleren Osten und Asien. Angriffe mit der Spionage-Software sollen laut Kaspersky außerdem im Rahmen der "P5+1"-Verhandlungen um das iranische Atomprogramm stattgefunden haben. An diesen nahmen Vertreter von Iran, Großbritannien, USA, China, Russland und Deutschland teil. Daneben soll der Spionage-Trojaner auch bei den Feierlichkeiten zum 70. Jahrestag der Befreiung von Auschwitz-Birkenau eingesetzt worden sein.

Die Analyse der Attacke bei Kaspersky Lab dauert immer noch an und soll innerhalb der nächsten Wochen abgeschlossen werden. Ziel der Attacke sei offenbar das Ausspähen von Antivirus-Technologen und Forschungsergebnissen gewesen. Eine tiefergehende Manipulierung der Systeme etwa mit Auswirkungen auf die von Kaspersky angebotenen Software-Produkte konnte nicht festgestellt werden. Man sei überzeugt, dass für Kunden und Partner keine Gefahr durch die Kaspersky-Software bestehe.

Unterdessen hat Kaspersky die Erkennung des Trojaners Duqu 2.0 unter der Bezeichnung "HEUR:Trojan.Win32.Duqu2.gen." in seine Antiviren-Software implementiert. Dazu hat das Unternehmen ein FAQ (.PDF) und einen 46-seitigen Bericht zu Duqu 2.0 veröffentlicht, der die technischen Details der Cyberattacke erläutert.