Medien berichten davon, dass das Sicherheitsunternehmen Kaspersky Opfer eines elektronischen Einbruchs wurde.

Dieser Zwischenfall, die dafür genutzte Malware und der politische Kontext führten dazu, dass wir sehr viele Anfragen von Kunden und Journalisten zu Duqu 2.0 erhalten haben. Mit dieser Mitteilung möchten wir die wichtigsten Fakten rund um den Fall zusammenfassen.

Was ist passiert?

Das russische Sicherheitsunternehmen Kaspersky hat am 10. Juni 2015 die Mitteilung herausgegeben, dass sie Opfer eines Angriffs wurden. Kasperskys Firmengründer Eugene Kaspersky selbst beschreibt, wie die Kompromittierung entdeckt wurde, wie man im Rahmen der Analyse vorgegangen ist und welche Schlüsse man aus dieser gezogen hat.

Welche Malware wurde genutzt?

Die erste Analyse von Kaspersky hat aufgezeigt, dass hier eine Malware zum Tragen kommt, die in zentralen Teilen mit der im Jahr 2011 als Duqu bekannt gewordenen Malware identisch ist. Kaspersky bezeichnet die Malware dementsprechend als Duqu 2.0.

Was ist das Besondere an Duqu 2.0?

Eine erweiterte Analyse des Sicherheitsunternehmens Symantec hat aufgezeigt, dass die erweiterte Form von Duqu drei wesentliche Neuerungen mitbringt:

1. Es wird ein Mehr an Funktionalität bereitgestellt.
2. Duqu 2.0 agiert fast nur noch im RAM eines infizierten Systems. Dies erschwert eine forensische Analyse umso mehr, weil wenige bis gar keine Daten persistent abgespeichert werden.
3. Die installierte Basis fungiert als Botnet und kann über Command-and-Control Server in zentralisierter Form gesteuert werden.

Wieso wurde Kaspersky angegriffen?

Sicherheitsunternehmen sind für verschiedene Akteure ein lohnendes Ziel. Hersteller wie Kaspersky forschen und entwickeln ständig neue Technologien, um Angriffe und Malware erkennen und verhindern zu können. Kann ein Angreifer in den Besitz dieser Informationen kommen, kann dies ein strategischer und taktischer Vorteil für weitere Angriffe bedeuten.

Wie wurden andere Opfer identifiziert?

Es gibt zwei Möglichkeiten, wie Opfer von Malware identifiziert werden können:

1. Moderne Antiviren-Lösungen erlauben das Melden von identifizierter Malware, wodurch die Hersteller einen statistischen Überblick über infizierte Systeme bekommen können.
2. Durch das Analysieren der Command-and-Control Server wird es möglich, weitere Aktivitäten identifizieren zu können. Hierzu ist aber das Mitlesen dessen Kommunikationen oder gar das Kompromittieren und forensische Analysieren des Systems erforderlich. Ob dies im Fall von Duqu 2.0 schon geschehen ist, ist fraglich.

Wer steckt wohl hinter der Malware?

Kaspersky weist ganz klar darauf hin, dass sie keine konkreten Zuweisungen bei Malware machen. Die Komplexität und Professionalität von Duqu und dessen Nachfolger deutet auf einen sehr kaufstarken Akteur hin. Hierbei kommen sowohl staatliche Stellen als auch die organisierte Kriminalität in Frage. Die identifizierten Ziele sind jedoch in erster Linie politischer Natur, wodurch sich eine staatliche Stelle aufdrängt. Unter anderem wurden politische Gespräche zum Nuklearprogramm des Irans und die Feierlichkeiten des 70. Jahrestags der Befreiung von Auschwitz-Birkenau unterwandert. Die Anzeichen verdichten sich, dass es sich hierbei um eine israelische Entwicklung handelt. Dies ist zum jetzigen Zeitpunkt aber noch unbestätigt.

Über den Autor

Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Fakultäten, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)

Links

• http://www.computerworld.com/article/2934398/cybercrime-hacking/duqu-20-hackers-may-have-cracked-kaspersky-to-recon-research.html
• http://www.kaspersky.com
• http://www.theguardian.com/technology/2015/jun/11/duqu-20-computer-virus-with-traces-of-israeli-code-was-used-to-hack-iran-talks
• https://blog.kaspersky.com/kaspersky-statement-duqu-attack/
• https://securelist.com/blog/incidents/31177/the-mystery-of-duqu-part-one-5/