Spionage-Trojaner wütete im Netzwerk von Kaspersky
Ein Mitarbeiter des auf Computer-Sicherheit spezialisierten Unternehmens Kaspersky hat nicht aufgepasst und den Anhang einer gefälschten E-Mail geöffnet. Anschließend hat ein Schädling monatelang vertrauliche Informationen abgezogen.
(Bild: dpa, Frank Rumpenhorst/Archiv)
Die Sicherheitsforscher von Kaspersky sind selbst Opfer eines Hacker-Angriffs geworden und haben einen Spionage-Trojaner entdeckt, der seit Monaten unentdeckt im eigenen Netzwerk sein Unwesen trieb. Das Unternehmen gibt in einem Statement an, dass ein Mitarbeiter im asiatisch-pazifischen Raum auf eine Trojaner-Mail reingefallen ist und die Schadsoftware im Anhang ausgeführt hat. Folglich war das System der Virenjäger infiziert. Der Vorfall wurde eigenen Angaben zufolge erst im Frühjahr dieses Jahres entdeckt.
Die Angreifer haben im Zuge der Attacke das Netzwerk von Kaspersky unter anderem nach zukünftigen Schutzmechanismen für Betriebssysteme und Ergebnissen in Bezug auf die Untersuchungen von sogenannten Advanced-Persistent-Threat-Hacker-Gruppen (APT) durchforstet. Kasperksy versichert, dass während das Angriffs keine Daten von Kunden erbeutet wurden. Zudem soll die Arbeitsweise der Software des Unternehmens zu keinem Zeitpunkt eingeschränkt gewesen sein.
Hoch entwickeltes Spionage-Werkzeug
Den Untersuchungen zufolge ist der Spionage-Trojaner fast identisch aufgebaut wie der Duqu-Wurm, der Ende 2011 etwa Betriebsgeheimnisse aus verschiedenen industriellen Zielen abziehen wollte. Kaspersky vermutet, dass dieselben Angreifer hinter dem Übergriff stecken. Dabei handele es sich wohl um staatliche Akteure, da das Spionage-Werkzeug äußerst komplex aufgebaut ist und viel Geld in der Entwicklung verschlungen hat.
(Bild: Symantec)
Sicherheitsforscher von Symantec fügen dem hinzu, dass Duqu 2.0 sich effektiv verstecken kann, da das Spionage-Werkzeug zu keinem Zeitpunkt Daten auf Speichermedien schreibt und ausschließlich aus dem Arbeitsspeicher operiert. Im Vergleich zu Duqu verfügt die neue Version über mehr Funktionen und kann etwa neben dem Kopieren von Daten auch mit Command-and-Control-Servern der Angreifer kommunizieren und ganze Netzwerke infizieren.
Übergriffe mit politischem Hintergrund
Neben Kaspersky sollen wie beim Vorgänger Duqu auch iranische Nuklearprogramme im Fokus der Angreifer stehen. Übergriffe seitens Duqu 2.0 soll es 2014 und 2015 im Zuge der "P5 +1"-Gespräche gegeben haben, bei denen sich China, Deutschland, Frankreich, Großbritannien, Russland und die USA um eine Übereinkunft über deren Nuklearprogramme bemühen. Zudem hat Duqu 2.0 Kaspersky zufolge auch im Zuge der Feierlichkeiten zum 70-jährigen Jahrestag der Befreiung von Auschwitz-Birkenau sein Unwesen getrieben. Dort waren etwa Bundespräsident Joachim Gauck und weitere Regierungschefs vor Ort. Kaspersky geht davon aus, dass Duqu 2.0 noch wesentlich mehr Ziele angegriffen hat.
Laut Symantec hat Duqu 2.0 weltweit auch bei verschiedenen Telekommunikations-Firmen zugeschlagen. Dahinter vermuten sie, dass die Angreifer die Kommunikation von Zielen belauschen wollten.
Kaspersky hat russische und britische Sicherheitsbehörden eingeschaltet, um die Aufklärung voranzutreiben. Auch Microsoft wurde informiert, da die Angreifer auch sogenannte Zero Day Exploits auf Windows-Rechnern als Einfallstor genutzt haben sollen. Microsoft zufolge wurden die Sicherheitslücken im Zuge des Patchdays geschlossen. (des)
