The Mystery of Duqu 2.0: die Rückkehr eines raffinierten Cyberspionage-Akteurs

Neue Zero-Day-Sicherheitslücke ermöglicht effiziente Einschleusung in den Kernelspeicher und das Verbergen im System

Duqu 2.0: Frequently Asked Questions

Die technische Dokumentation von Duqu 2.0 (PDF) ist hier verfügbar

Die Indicators of Compromise (IOC) stehen hier zum Lesen bereit

Yara-Regeln finden Sie hier.

Pressemitteilung

Früher im laufenden Jahr während eines Sicherheitschecks stießen wir bei Kaspersky Lab auf einen Cyberangriff, der mehrere unserer internen Systeme betraf.

Als Reaktion auf diese Erkenntnis leiteten wir umfassende Ermittlungen ein, die wiederum zur Entdeckung der neuen Malware-Plattform einer der kompetentesten, geheimnisvollsten und mächtigsten Gruppen in der APT-Welt führte, und zwar zu Duqu. Der Bedrohungsakteur Duqu verschwand im Jahr 2012 spurlos und es wurde angenommen, dass die Arbeit an diesem Projekt eingestellt worden war – bis jetzt. Unsere technische Analyse weist auf eine neue Angriffswelle hin, die eine aktualisierte Version der berüchtigten Duqu-Malware aus dem Jahr 2011 einschließt, welche manchmal als Stuxnets Stiefbruder bezeichnet wird. Wir tauften diese neue Malware und die damit zusammenhängende Plattform auf den Namen “Duqu 2.0”.

Einige der neuen Duqu-Infektionen aus den Jahren 2014-2015 werden mit den P5+1-Veranstaltungen und den Orten in Verbindung gebracht, an denen die Verhandlungen mit dem Iran über das Atomprogramm des Landes stattfinden. Der Bedrohungsakteur hinter Duqu scheint Angriffe auf die Veranstaltungsorte einiger dieser Gespräche auf höchster Ebene durchgeführt zu haben. Neben den P5+1-Events hat die Duqu 2.0-Gruppe auch ähnliche Angriffe auf die Veranstaltungen anlässlich des 70. Jahrestages der Befreiung von Auschwitz-Birkenau durchgeführt.

Im Fall von Kaspersky Lab machten sich die Angreifer eine Zero-Day-Schwachstelle im Windows-Kernel zunutze und möglicherweise bis zu zwei andere, aktuell gepatchte Sicherheitslücken, die zu der Zeit ebenfalls Zero-Day-Lücken waren. Die Analyse der Attacke ergab, dass das Hauptziel der Angreifer darin bestand, die Technologien von Kaspersky Lab, die laufenden Untersuchungen und interne Prozesse des Unternehmens auszuspionieren. Es wurden keine Störungen der Prozesse oder Systeme registriert. Weitere Details finden Sie in unserer Technischen Dokumentation.

Aus der Perspektive eines Bedrohungsakteurs muss es eine ziemlich gewagte Entscheidung sein, ein Sicherheitsunternehmen von Weltrang anzugreifen. Denn das bedeutet, dass die Attacke höchstwahrscheinlich aufgedeckt wird – es ist sehr unwahrscheinlich, dass der Angriff unbemerkt bleibt. Wird ein Sicherheitsanbieter attackiert, so muss man davon ausgehen, dass die Angreifer entweder sehr sicher sind, nicht geschnappt zu werden, oder dass es ihnen ziemlich egal ist, ob sie auffliegen oder nicht. Mit dem Angriff auf Kaspersky Lab hat die Duqu-Gruppe möglicherweise hoch gepokert, in der Hoffnung, unentdeckt zu bleiben – und sie hat verloren.

Bei Kaspersky Lab glauben wir an Transparenz, daher gehen wir mit diesen Informationen an die Öffentlichkeit. Kaspersky Lab ist davon überzeugt, dass seine Kunden und Partner sicher sind und es keine Auswirkungen auf die Produkte, Technologien und Services des Unternehmens gegeben hat.

Duqu 2.0 – Indicators of Compromise (IOCs)

MD5s

Action Loader:

089a14f69a31ea5e9a5b375dc0c46e45
16ed790940a701c813e0943b5a27c6c1
26c48a03a5f3218b4a10f2d3d9420b97
a6dcae1c11c0d4dd146937368050f655
acbf2d1f8a419528814b2efa9284ea8b
c04724afdb6063b640499b52623f09b5
e8eaec1f021a564b82b824af1dbe6c4d
10e16e36fe459f6f2899a8cea1303f06
48fb0166c5e2248b665f480deac9f5e1
520cd9ee4395ee85ccbe073a00649602
7699d7e0c7d6b2822992ad485caacb3e
84c2e7ff26e6dd500ec007d6d5d2255e
856752482c29bd93a5c2b62ff50df2f0
85f5feeed15b75cacb63f9935331cf4e
8783ac3cc0168ebaef9c448fbe7e937f
966953034b7d7501906d8b4cd3f90f6b
a14a6fb62d7efc114b99138a80b6dc7d
a6b2ac3ee683be6fbbbab0fa12d88f73
cc68fcc0a4fab798763632f9515b3f92

Kernel:

3f52ea949f2bd98f1e6ee4ea1320e80d
c7c647a14cb1b8bc141b089775130834

IPs der C&C

182.253.220.29
186.226.56.103

Um zu überprüfen, ob das Netzwerk von Duqu 2.0 befallen ist, können Sie auch die öffentliche IOC-Datei benutzen, die hier verfügbar ist.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.