Kaspersky Experten entdecken neue Malware Plattform von Duqu
Die Sicherheitsforscher von Kaspersky Lab haben im ersten Quartal des Jahres 2015 einen größeren Cyberangriff auf die eigenen Systeme aufgedeckt. Betroffen waren mehrere interne Systeme. Als Ursache fanden die Experten bei weiteren Untersuchungen eine neuartige Malware Plattform, die von einem „alten Bekannten“ aus der Hackerszene stammt. Hinter den neuen Schädlingen steht Duqu, eine TOP ausgebildete und mysteriöse Hackergruppe, die in der APT-Welt zu den großen Unbekannten gehört und immer wieder mit neuen, bösartigen Schädlingen angreift.
Duqu Cyberangriffe mit neuen Methoden
Die Hackergruppe Duqu arbeitete bei dieser Cyberattacke mit einer neuen Generation von Schadsoftware, die durch eine Zero-Day-Sicherheitslücke eingeschleust wurden. Und für die Sicherheitsexperten schwer nachzuverfolgen ist, da der Angriff kaum Spuren hinterlässt. Die Hacker erhalten die Administrator-Rechte und können so die Schadsoftware in den MSI Dateien ablegen. Die Malware versteckt sich dann in den tiefen Dateien, die nur mit Administratorenberechtigung aufrufbar sind und einen Fernzugriff der PC Software ermöglicht. Danach können die Angreifer nach Belieben agieren.
Bei diesem Kaspersky-Angriff nutzte Duqu gleich drei Zero-Day-Exploits und platzierte die Malware nur im Arbeitsspeicher des Kerns. Durch die Installation von schadhaften Treibern konnten die Cyberkriminellen die Command-and-Control-Server umgehen und unterhalb des Antiviren-Radars agieren und den gesamten Datenverkehr auf eigene Domain-Server umleiten.
Die intensive und erweiterte Analyse des Cyberangriffs machte deutlich, dass nur „Technologien und forensische Prozesse“ von Kaspersky ausgespäht wurden. Eine Manipulation der Systeme oder Datendiebstahl mit anschließenden Erpressungsversuchen wurden bei der Überprüfung nicht festgestellt. Kaspersky kann also alle Kunden und Partner beruhigen, da weder Services noch Produkte oder Abläufe beeinträchtigt sind. Die Kundendaten wurden nicht angetastet und sind weiterhin sicher.
Duqu Hacker greifen auch internationale Ziele an
Die Experten von Kaspersky konnten die Art des Angriffs herausfiltern und stellten anhand der Ergebnisse fest, dass Duqu auch andere Ziele über die Malware Plattform attackiert hat.
In den Jahren 2014 und 2015 gab es bereits mehrere Attacken auf Veranstaltungsorte der Nuklearmeeting Meetings zwischen 5+1 Staaten und dem Iran. Anhand weiterer gesicherter Daten kamen die Forscher zu dem Schluss, dass die Duqu-Hacks neuen anscheinend politisch motiviert sind, denn auch andere Meetings und Gedenkveranstaltungen, an denen in- und ausländische Politiker und hochrangige Persönlichkeiten teilnahmen, wurden durch Cyberattacken gestört.