Stuxnet-Nachfolger hat Kaspersky ausspioniert

Kaspersky Lab hat einen Angriff auf seine eigenen Systeme öffentlich gemacht. Duqu 2, ein Nachfolger des 2011 bekannt gewordenen Duqu-Trojaners, habe über mehrere Monate hinweg verschiedene Systeme ausspioniert, so das russischen Sicherheitsunternehmen.
 
Was genau die Absicht hinter dem Angriff gewesen ist, sei noch unklar. Allerdings hätten sich die Eindringlinge überwiegend für den Stand in der Erforschung hochentwickelter Bedrohungen, Future Technologies und die Sicherheit von Betriebssystemen interessiert.
 
Für Kaspersky bedeutet der erfolgreiche Angriff zweifelsohne einen Imageschaden. Trotzdem sei für das Unternehmen immer klar gewesen, dass es darüber informieren müsse. Vor der Öffentlichkeit wurde unter anderem Microsoft kontaktiert. Der Trojaner verschaffte sich gleich über drei Zero-Day-Exploits in Microsoft-Produkten Zugang zu den Systemen von Kaspersky. Zero-Day-Exploits beschreiben unbekannte Sicherheitslücken, die nicht schnell genug geschlossen werden können, um einen laufenden Angriff noch abzuwehren. Als ursprüngliches Einfallstor hat Kaspersky einen Mitarbeiter im asiatisch-pazifischen Raum ausgemacht. Er soll den verseuchten Anhang einer unverfänglich wirkenden E-Mail geöffnet haben.
 
Die Attacken hätten nicht nur Kaspersky selbst, sondern zahlreiche Ziele in Ländern im Westen, Mittleren Osten und Asien getroffen. Dabei zeigte der Angreifer ein ausgeprägtes Interesse für Geopolitik, so Kaspersky. Unter anderem auffällig waren dabei Angriffe auf die 5+1-Gespräche von 2014 und 2015. In den Gesprächen verhandeln Russland, die USA, China, Frankreich, Grossbritannien und Deutschland über die Zukunft des iranischen Atomprogramms. Die Gespräche finden an wechselnden Standorten statt. Mit Montreux, Lausanne und Genf liegen drei der bisher fünf Tagungsorte in der Schweiz.
 
Duqu 2 hat Konferenz in Genf angegriffen
 
Mitte Mai hat die Bundesanwaltschaft eine Hausdurchsuchung im Genfer Hotel Beau Rivage durchgeführt, wie das SRF berichtet. Duqu 2 habe dort Telefone, Lifte und Alarmanlagen infiltriert. Zur Zeit läuft eine Strafuntersuchung gegen unbekannt.
 
Auch die Gedenkfeier zum 70. Jahrestag der Befreiung von Auschwitz sei betroffen gewesen.
 
Duqu und sein Nachfolger basieren mit hoher Wahrscheinlichkeit auf Stuxnet, einem von den USA und Israel eingesetzten Trojaner, der durch die mutmassliche Zerstörung iranischer Zentrifugen zur Urananreicherung bekannt wurde.
 
Kaspersky hatte bereits die Urheber der ersten bekannten Version von Duqu auf Grund mehrerer Indizien in Israel vermutet. Unter anderem würden die in den Dokumenten des Trojaners festgehaltene Zeitzone GMT +2 und die Arbeitszeiten der Urheber passen, die freitags deutlich weniger arbeiteten und samstags gar nicht. Am Freitag beginnt der in Israel arbeitsfreie Sabbat.
 
In der nun entdeckten Nachfolge-Version, die Kaspersky Duqu 2 getauft hat, seien die meisten Zeitstempel abgeändert worden, wie Kaspersky in einem 46-seitigen Bericht schreibt. Nur wer weit genug in die Tiefen des Trojaners hinabsteigt, könne noch alte Stempel entdecken.
Auch einen im Code untergebrachten Hinweis auf einen wohlbekannten chinesischen Hacker wollen die Sicherheitsspezialisten nicht für bare Münze nehmen und vermuten einen Täuschungsversuch.
 
Zum ersten Mal entdeckt wurde Duqu 2008 vom Laboratory of Cryptography and System Security (CrySys) an der Budapest University of Technology and Economics in Ungarn. Die Einschätzung, dass es sich bei Duqu um einen Nachfolger von Stuxnet handeln muss, stammt von Symantec. Dem Unternehmen zu Folge müssen die Duqu-Entwickler zumindest Einblick in den Quellcode von Stuxnet gehabt haben. (mik)