Duqu 2.0

 

Keyfacts

  • entdeckt: 2015 durch Infektionen bei Kaspersky selbst
  • sicher aktiv seit: 2014
  • letzte Aktualisierung: 2015
  • Verbreitung: etwa 100 Firmen weltweit, vor allem Westeuropa, Mittlerer Osten, Asien, auch die IT-Sicherheitsfirma Kaspersky selbst
  • Infektion und Replikation: Replikation unbekannt aber Funktionalität vorhanden, Infektion per Spear Phishing, sehr hoher Grad an Verschleierung
  • Hauptziel: Spionage, u.a. der Atom-Gespräche Genf mit dem Iran 2014, Spionage bei Kaspersky nach Sicherheits-Informationen und Techniken
  • Vermutliche Herkunft: unbekannt, Spuren deuten auf Israel hin, sehr hohe Ähnlichkeit zu Duqu

Relevante Dokumente

Die IT-Sicherheitsfirma Kaspersky haben unter anderem in ihren eigenen Systemen eine Malware entdeckt, deren primärer Zweck in der Spionage zu bestehen scheint und deren Quellcode sehr große Ähnlichkeiten zu der 2011 entdeckten Malware Duqu aufweist. Diese wurde damals in der Welle von aufgedeckten IT-Sicherheitsvorfällen nach Stuxnet gefunden und mutmaßlich den selben Urhebern und deren Programmierplattform Tilded zugesprochen. Die nun entdeckte Malware Duqu 2.0 scheint ihren Ursprung auch auf dieser Basis zu haben, legt dabei aber einen sehr viel stärkeren technischen Fokus auf Geheimhaltung und Verborgenheit. Unter anderem werden Mechanismen für Infektion von IT-Systemen verwendet, bei denen keinerlei Spuren auf Datenträgern der infizierten Rechner hinterlassen werden. Da somit bei jedem Neustart dieser Rechner die Infektion verloren geht, verwendet Duqu 2.0 Mechanismen um innerhalb eines lokalen Netzwerkes die Rechner mit der höchsten Uptime (also Geräte, wie bspw. Server, die selten bis nie ausgeschalten werden) gezielt zu infizieren, über die der Schadcode immer wieder neu an Arbeitsplatzrechner verteilt wird:

The Duqu 2.0 malware platform was designed in a way that survives almost exclusively in memory of the infected systems, without need for persistence. To achieve this, the attackers infect servers with high uptime and then re-infect any machines in the domain that get disinfected by reboots. Surviving exclusively in memory while running kernel level code through exploits is a testimony to the technical prowess of the group. In essence, the attackers were confident enough they can survive within an entire network of compromised computers without relying on any persistence mechanism at all (..) The reason why there is no persistence with Duqu 2.0 is probably because the attackers wanted to stay under the radar as much as possible. Most modern anti-APT technologies can pinpoint anomalies on the disk, such as rare drivers, unsigned programs or maliciously-acting programs. Additionally, a system where the malware survives reboot can be imaged and then analyzed thoroughly at a later time. With Duqu 2.0, forensic analysis of infected systems is extremely difficult – one needs to grab memory snapshots of infected machines and then identify the infection in memory. (Q: Kaspersky)

Hinsichtlich des beabsichtigten Zwecks der Malware scheint vor allem Spionage bezweckt worden zu sein. Im Falle der Infektionen bei Kaspersky selbst wurden von Duqu 2.0 nach neuen (und evtl. der restlichen Fachwelt noch unbekannten) Sicherheitslücken bzw. forensischen Analyse-Methoden. Ähnlich wie bei dem mutmaßlichen Vorgänger Duqu soll aber unter anderem auch das iranische Atomprogramm Ziel der Spionageaktivitäten gewesen sein:

An den Atomverhandlungen über das iranische Atomprogramm 2014/2015 waren neben dem Iran die UNO-Vetomächte USA, Russland, China, Großbritannien, Frankreich sowie Deutschland [die sog.“P5 +1″-Gespräche, Anm. der Autors] beteiligt. Offenbar konnten mit Hilfe des Spionage-Trojaners außer Computern auch Telefone, Aufzüge und Alarmanlagen verwanzt werden. Laut Kaspersky wurden Sicherheitslücken in drei Tagungshotels in Genf, Lausanne und Wien entdeckt worden. (Q: heise.de)

Einem Bericht des Wall Street Journal zufolge sollen hinter Duqu 2.0 auch israelische Institutionen stehen, wie dies bereits für Duqu und Stuxnet vermutet wird. Auch die Jerusalem Post melden, dass die die mutmaßlichen Hackerangriffe den „Stempel israelischer Geheimdienstoperationen“ tragen. Insbesondere weisen die hohen Ähnlichkeiten im Code, die Kaspersky in ihrer technischen Analyse genauer beschreiben auf diese Herkunft hin:

„There are many similarities in the code that leads us to conclusion that Duqu 2.0 was built on top of the original source code of Duqu. Those interested can read below for a technical description of these similarities.“ (Q: SecureLists/Kaspersky)