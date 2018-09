Entwickler von Antiviren-Lösungen brüsten sich gerne damit, wenn sie besonders ausgefeilte Schadsoftware entdeckt haben. Spätestens seit Stuxnet gilt so etwas als wertvolle Eigen-PR. Kaspersky Lab tut das sogar, wenn es selbst das Opfer ist. Die russische IT-Sicherheitsfirma hat am Mittwoch einen Bericht über Duqu 2.0 veröffentlicht. Gefunden hat das Unternehmen den raffinierten Schädling zuerst in den eigenen Computernetzen.

Zur Erinnerung: Duqu war eine mit Stuxnet verwandte Spionagesoftware, die 2011 von ungarischen Forschern entdeckt wurde. Stuxnet wiederum war der in Teilen erfolgreiche Versuch der USA und Israels, das iranische Atomprogamm mithilfe eines in seiner Komplexität nie dagewesenen Computerwurms zu bremsen. Duqu 2.0 heißt so, weil einzelne Methoden und Teile des Codes "sehr ähnlich bis fast identisch" zu Duqu sind, wie Kasperskys Chefanalyst Spiegel Online sagte.

Die Angreifer sollen versucht haben, Informationen über sogenannte Advanced Persistent Threats (APT), also fortgeschrittene, andauernde Bedrohungen sowie Abwehrtechniken aus dem Kaspersky-Netzwerk zu stehlen. Weitere Ziele seien nicht genannte Unternehmen oder Organisatoren in Russland, "westlichen Ländern", Asien und im Nahen Osten gewesen. "Besonders bemerkenswert" findet Kaspersky Lab, dass Duqu 2.0 im Umfeld von Konferenzen und Veranstaltungsorten der Verhandlungen über ein Nuklearabkommen zwischen den 5+1-Staaten und dem Iran aktiv war. Außerdem hätten sich die Angreifer für die Veranstaltungen zum Jahrestag der Befreiung des Konzentrationslagers Auschwitz-Birkenau interessiert – beziehungsweise für deren hochrangige Besucher.

Bis zu drei Zero-Day-Lücken ausgenutzt

Sie nutzten bis zu drei sogenannte Zero-Day-Lücken aus, also drei bisher unbekannte Sicherheitslücken. Eine davon betrifft den Windows-Kernel und wurde gerade erst von Microsoft geschlossen. Für Erkenntnisse über solche Lücken und darüber, wie sie sich ausnutzen lassen, zahlen Kriminelle oder auch Geheimdienste mitunter sechsstellige Summen. Es ist nur einer von mehreren Hinweisen, dass hinter Duqu 2.0 eine mächtige Organisation steht.

"Wir haben nie etwas Vergleichbares gesehen. Dies ist eine neue Generation", sagte der für markige Worte bekannte Eugene Kaspersky auf einer Pressekonferenz. Er meinte vor allem die Besonderheit von Duqu 2.0, fast keine Spuren zu hinterlassen: keine Dateien auf Festplatten, keine veränderten Systemeinstellungen. Der Code von Duqu 2.0 existiert ausschließlich im Arbeitsspeicher des Computers, teilte Kaspersky Lab mit. Wie die Experten den Schädling trotzdem entdecken konnten, wollte der Gründer und CEO des Unternehmens nicht verraten.

Wer hinter Duqu 2.0 steckt, kann Kaspersky Lab nach eigenen Angaben nicht beweisen. Im Code seien einige falsche Fährten gelegt worden, die unter anderem nach China weisen sollen. Die Experten glauben allerdings, hinter Duqu 2.0 stecke dieselbe Gruppe wie hinter Duqu. Den Rest muss sich jeder selbst zusammenreimen, Kaspersky nennt in seinem Bericht keine Staaten. Weil Duqu eng verwandt mit Stuxnet war, und Stuxnet wiederum von den USA und Israel entwickelt wurde, besteht nun der Verdacht, auch Duqu 2.0 könne eine israelische Entwicklung sein.

Technische Details zu Duqu 2.0 hat Kaspersky Lab auf securelist.com veröffentlicht.