Der Sicherheitsdienstleister Kaspersky warnt eindringlich vor einer neuen Generation der Malware-Platform Duqu. Bei dieser handle es sich um eine hoch entwickelte Plattform, die eine Generation weiter sei als alle Schadsoftware dieses Typs sei, so das Unternehmen in einem Blog-Eintrag.

Ablauf

Duqu 2.0 verwende für seine Angriffe üblicherweise gleich mehrere Zero-Day-Exploits, nutzt also Lücken aus, die zum Zeitpunkt der Attacke noch nicht öffentlich bekannt waren. Über diese verschafft man sich Administrator-Privilegien auf dem angegriffenen Windows-System, nur um sich in Folge über Microsoft-Software-Installer-Dateien über das restliche Netzwerk auszubreiten.

Stealth-Modus

Dabei versucht Duqu 2.0 alles, um unentdeckt zu bleiben. Ein Angriff hinterlässt weder Dateien auf der Festplatte noch werden die Systemeinstellungen verändert. Zudem verbindet sich die Malware nicht direkt mit einem Command and Control-Server, sondern infiziert Netzwerk-Gateways und Firewalls mit schadhaften Treibern. Im lokalen Speicher läuft die Schadsoftware im für den Kernel reservierten Speicher und ist somit für klassische Anti-Viren-Tools nur schwer aufzuspüren.

Fehler

Aufgeflogen ist die Malware lediglich, da die Software für einen Angriff gegen Kaspersky selbst genutzt wurde. Diese wurde von dem Unternehmen bemerkt, im Rahmen der darauf folgenden Untersuchung wurde Duqu 2.0 dann mithilfe eines neuen entwickelten Tools aufgespürt.

Iran

Darüber hinaus hat man aber auch untersucht, wo das Angriffstool noch zum Einsatz gekommen ist, und die daraus resultierenden Erkenntnisse sind durchaus brisant: So soll die Malware gegen die Teilnehmer der P5 +1 Atomgespräche mit dem Iran eingesetzt worden sein. Auch bei einer Veranstaltung anlässlich des 70. Jahrestags der Befreiung des Konzentrationslagers Auschwitz-Birkenaus entfaltet die Software ihre Aktivitäten.

Spekulationen

Kaspersky geht davon aus, dass hinter dem Schädling eine äußerst wohlfinanzierte Gruppe steckt. Die letzte der bisher genutzten Zero-Day-Sicherheitslücken wurde am 9. Juni von Microsoft gepatcht. Es ist aber wohl davon auszugehen, dass die Angreifer schon neue Angriffswege in Stellung gebracht haben. Die Attacke gegen den Anti-Viren-Hersteller selbst war laut dem Unternehmen ganz offensichtlich vom Interesse getragen, zu wissen, wie weit die Entwicklung von Kaspersky gediehen ist, um einer Entdeckung zu entgehen. (red, 10.6.2015)