Trojaner Duqu: Kaspersky entdeckt Malware im eigenen Netz

Die russische IT-Sicherheitsfirma Kaspersky Lab ist nach eigenen Angaben das Ziel eines ausgeklügelten Virenangriffs geworden. "Diese Software war extrem hochentwickelt und fast unsichtbar", sagte Gründer und Chef Eugene Kaspersky am Mittwoch in einer Videokonferenz. Der Virus sei einige Monate im Netz von Kaspersky aktiv gewesen und habe vor allem die Aktivitäten zur Suche nach Schadsoftware ausgespäht. "Ich bin ziemlich sicher, dass sie uns beobachtet haben", sagte Kaspersky. Kunden und Partner seien nach bisherigen Erkenntnissen nicht betroffen.

Der Virus sei eine Weiterentwicklung der Schadsoftware Duqu, die mit dem bekannten Computerwurm Stuxnet verwandt ist. Stuxnet war nach bisherigen Informationen entwickelt worden, um das iranische Atomprogramm zu sabotieren. Die jetzt entdeckte Software sei so aufwendig, dass ihre Entwicklung mehr als zehn Millionen Dollar gekostet haben dürfte, sagte Kaspersky.

Sie hat der Mitteilung zufolge vermutlich bis zu drei unbekannte Sicherheitslücken im Betriebssystem Windows ausgenutzt. Die letzte verbliebene Zero-Day-Lücke CVE-2015-2306 sei durch Microsoft am 9. Juni 2015 gepatcht worden. Nachdem die Attacke Domain-Administrator-Privilegien erhalten habe, habe sich die Malware im Netzwerk durch MSI (Microsoft Software Installer)-Dateien verteilt, die in der Regel von Systemadministratoren genutzt würden, um Software auf Windows-Rechnern per Fernzugriff einzurichten.

Auch andere Unternehmen angeblich betroffen

Laut Kaspersky wurde die Schadsoftware, die den Namen Duqu 2.0 bekam, auch an Verhandlungsorten bei den Atomgesprächen mit dem Iran entdeckt. Kaspersky-Konkurrent Symantec berichtete am Mittwoch, das Schadprogramm sei zudem bei einem europäischen Telekom-Unternehmen, einem Elektronikhersteller aus Südostasien sowie auf Computern in den USA, Großbritannien, Schweden und Hongkong entdeckt worden.

Bei der neuen Software sei es fast unmöglich, festzustellen, wenn sie einen Computer befalle, sagte Kaspersky. Sie verstecke sich im Arbeitsspeicher eines Computers, schreibe keine Daten auf die Festplatte und übermittele nur wenig Daten. "Sie ist wie Alien, Terminator und Predator zusammen", sagte der russische Virenjäger unter Bezug auf Hollywood-Actionfilme. Dennoch sei es "ziemlich dumm" gewesen, eine IT-Sicherheitsfirma anzugreifen: "Früher oder später finden wir es heraus."