Spionage-Trojaner bei Kaspersky nutzte Signatur von Foxconn

17. Juni 2015, 09:46
1 Posting

Duqu 2.0 hatte das Firmennetz des Antivirensoftware-Herstellers infiltriert

Eine Komponente des Spionage-Trojaners, der das Intranet von Kaspersky infiziert hatte, war mit einer Signatur des unter anderem für Apple, Amazon und Microsoft tätigen Fertigungsunternehmens Foxconn versehen. Den Angreifern war es damit gelungen, ein Backdoor in das Firmennetz des Antivirensoftware-Herstellers zu installieren. Das berichtet Kaspersky nun in einem Blogeintrag.

Aktivierung über Schlüsselwörter

Nach Angaben von Kaspersky installiert Duqu 2.0 schädliche Treiber in Firewalls, Gateways und Server, die ein Firmennetz mit dem Internet verbinden. Der mit der Foxconn-Signatur ausgestattete Treiber wurde dabei als normaler System Service erkannt und installiert. So konnten Verbindungen über Port 443 geleitet werden, der sonst für HTTPS-Verkehr genutzt wird. Um die Verbindungen zu aktivieren sendeten die Hacker bestimmte Schlüsselbegriffe wie romanian.antihacker und ugly.gorilla an die infizierten Server.

Ziele von Duqu 2.0 waren unter anderem auch die Teilnehmer der Atomgespräche mit dem Iran sowie eine Veranstaltung anlässlich des 70. Jahrestags der Befreiung des Konzentrationslagers Auschwitz-Birkenaus. In diesen Fällen waren allerdings andere gestohlene Zertifikate genutzt worden, so Kaspersky. (red, 17.6.2015)

  • Kaspersky gab weitere Details zum Spionage-Trojaner Duqu 2.0 bekannt.
    foto: reuters/sergei karpukhin

    Kaspersky gab weitere Details zum Spionage-Trojaner Duqu 2.0 bekannt.

Share if you care.