Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Neue Spionage-Software: Virenjäger Kaspersky entdeckt Virus bei sich selbst

Von und

Die IT-Sicherheitsfirma Kaspersky hat einen neuen Spionagevirus entdeckt, offenbar einen Nachfolger des Trojaners Duqu. Das Programm richtet sich diesmal unter anderem gegen die Virenjäger selbst. Ein konkreter Staat steht unter Verdacht.

Kaspersky-Chef Eugene Kaspersky: Angriff auf das eigene Unternehmen entdeckt Zur Großansicht
AP

Kaspersky-Chef Eugene Kaspersky: Angriff auf das eigene Unternehmen entdeckt

Wenig Zeit? Am Textende gibt's eine Zusammenfassung.


Für die Mitarbeiter der russischen Firma Kaspersky Lab gehört es zum Alltag, Computerviren, Würmer und Trojaner aufzuspüren und sie unschädlich zu machen. Doch diesmal entdeckten sie einen besonders ausgefeilten Cyberangriff nicht wie üblich bei ihren Kunden, sondern in mehreren der unternehmenseigenen Computernetzwerken. Die Attacke blieb über Monate unentdeckt.

Zunächst nahmen die Angreifer nach Darstellung des Unternehmens im vergangenen Jahr einen Kaspersky-Mitarbeiter in einer Niederlassung der Firma im asiatisch-pazifischen Raum ins Visier. Vermutlich schickten sie ihm eine unverdächtig erscheinende E-Mail, in deren Anhang sich eine Schadsoftware versteckte, die sich in den Systemen der Firma einnistete und ausbreitete. Der Befall sei erst bei internen Sicherheitsüberprüfungen "in diesem Frühjahr" entdeckt worden.

"Ähnlich bis fast identisch"

Der Angriff auf Kaspersky Lab beweise, "wie schnell das Wettrüsten mit Cyberwaffen eskaliert", heißt es in einem 45-seitigen Report des Unternehmens, in dem es den Vorfall selbst analysiert - und der dem SPIEGEL vorab vorlag. Der genaue Grund für den Angriff sei den eigenen Analysten "noch nicht klar", die Eindringlinge hätten sich aber insbesondere für Themen wie zukünftige Technologien, sichere Betriebssysteme und die neuesten Kaspersky-Untersuchungen über anhaltende, hochentwickelte Bedrohungen ("Advanced persistent threats", APT) interessiert - als eine solche ordnen die Kaspersky-Mitarbeiter auch das gegen sie selbst eingesetzte Spionagewerkzeug ein.

Den Analysten in der Moskauer Firmenzentrale kam der Schädling schnell bekannt vor. Es handelt sich nach ihrer Einschätzung um eine modernisierte und weiterentwickelte Variante der Cyberwaffe Duqu, die 2011 international Schlagzeilen machte.

Das nun entdeckte, modular aufgebaute Spionagewerkzeug setze auf der bekannten Duqu-Plattform auf: Einige Softwarepassagen und Methoden seien "sehr ähnlich bis fast identisch", sagt Vitaly Kamluk, Kasperskys Chef-Analyst. Das Unternehmen bezeichnet den elektronischen Eindringling denn auch als "Duqu 2.0": "Wir sind zu dem Schluss gekommen, dass es sich um dieselben Angreifer handelt."

Auf die Frage, wen das Unternehmen hinter der Software vermutet, gibt man sich bei Kaspersky branchenüblich vage. Das modulare Duqu-Arsenal sei "äußerst komplex und sehr, sehr teuer", sagt Kamluk. "Dahinter stecken keine Onlinekriminellen, wir haben es wohl mit staatlichen Angreifern zu tun." Wie häufig bei der schwierigen Suche nach den wahren Urhebern von technisch leicht zu verschleiernden Cyberattacken könnten vor allem die Ziele Aufschluss über die möglichen Urheber geben.

"Ausgeprägte geopolitische Interessen"

Die Urheber von Duqu hatten "ausgeprägte geopolitische Interessen", so der Kaspersky-Analyst. Neben dem Unternehmen selbst ist offenbar wie schon beim Vorgänger Duqu insbesondere das iranische Nuklearprogramm im Visier der neuen Angriffswelle.

Mehrere der neuen Infektionen mit Duqu 2.0 hätten 2014 und 2015 im Zusammenhang mit den sogenannten "P5 +1"-Gesprächen stattgefunden, sagt Kamluk. Dabei handelt es sich um die seit 2006 andauernden diplomatischen Bemühungen von Großbritannien, den USA, China, Frankreich, Russland und Deutschland, mit Iran zu einer Übereinkunft über dessen Nuklearprogramm zu kommen. Kaspersky habe gleich an drei der wechselnden Tagungsorte Spuren von Duqu 2.0 festgestellt.

Unter anderem fanden die klandestinen Treffen der Delegationen im fraglichen Zeitraum in Österreichs Hauptstadt Wien und im schweizerischen Lausanne statt, meist in Hotels. Welche dieser Tagungsorte genau infiziert wurden, wollte Kaspersky "zum Schutz eigener Kunden und der laufenden Ermittlungen" nicht mitteilen. Für Deutschland nimmt an den Arbeitssitzungen der Politische Direktor des Auswärtigen Amts teil, zu den entscheidenden Runden reiste Außenminister Steinmeier selbst.

Nukleargespräche und Auschwitz-Gedenken ausgespäht

Ohne auf technische Hintergründe einzugehen oder die Cyberwaffe Duqu zu erwähnen, hatte das "Wall Street Journal" bereits in diesem März von Spionage bei den "P5 +1"-Gesprächen berichtet und diese unter Berufung auf anonyme hochrangige Quellen in der US-Regierung israelischen Geheimdiensten zugeschoben. Israelische Politiker hatten diesen Vorwurf scharf dementiert.

Einen weiteren Infektionsherd mit Duqu 2.0 machten Kaspersky-Analysten rund um die Feierlichkeiten zum 70-jährigen Jahrestag der Befreiung von Auschwitz-Birkenau aus - zu den Gästen der zentralen Gedenkveranstaltung Ende Januar zählten neben Bundespräsident Joachim Gauck unter anderem der französische Staatspräsident François Hollande, der ukrainische Präsident Petro Poroschenko sowie weitere Regierungschefs.

In den Programmzeilen der Vorgängerversion Duqu hatten die Kaspersky-Analysten 2011 einige Auffälligkeiten gefunden, die den Verdacht erhärten könnten. Demnach stammten die Autoren aus einem Land mit der passenden Zeitzone "GMT +2" und arbeiteten freitags auffallend weniger und samstags gar nicht - was zur israelischen Arbeitswoche passt, in der freitags die Sabbatruhe beginnt.

Russische und britische Behörden eingeschaltet

Vor allem aber wies Duqu derart große Ähnlichkeiten mit Stuxnet auf, das verschiedene internationale IT-Experten sich damals sicher waren, dass es zwischen den Urhebern der beiden Programme mindestens eine enge Verbindung geben müsse. Hinter Stuxnet, das Steuerungsanlagen in der iranischen Urananreicherungsanlage in Natans so manipulierte, das eine große Zahl von Zentrifugen irreparabel beschädigt wurde, steckten die USA - und Israel.

In der neuen Fassung sind Kaspersky zufolge fast alle dieser Zeitstempel manipuliert, um falsche Spuren zu legen. Zudem enthält sie einen offensiven Hinweis auf einen bekannten chinesischen Hacker, was die Russen ebenfalls für einen Täuschungsversuch halten. Tief in den einzelnen Modulen versteckt hätten die Angreifer indes kleinere Fehler gemacht, sagt Kamluk - zum Beispiel würde dort einer der alten Zeitstempel wieder auftauchen.

Am Mittwochvormittag informierte das Unternehmen seine Mitarbeiter intern über den Vorfall. Firmengründer Eugene Kaspersky will sich am Nachmittag auf einer Pressekonferenz in London dazu äußern. Zudem hat das IT-Unternehmen russische und britische Sicherheitsbehörden eingeschaltet und Microsoft informiert. Wie schon bei der ersten Duqu-Welle nutzten die Angreifer auch diesmal bislang unbekannte Schwachstellen auf Windows-Rechnern, sogenannte Zero Day Exploits.

Für Kaspersky ist fast schon unerheblich, wer hinter dem Angriff steckt - einen Reputationsschaden wird er wohl auf jeden Fall bedeuten. Es gehöre für ein IT-Sicherheitsunternehmen sicher zu den schwierigsten Situationen, selbst einen erfolgreichen Angriff auf die eigenen Systeme einräumen zu müssen, heißt es im Unternehmensreport. Das Management habe dennoch nicht gezögert, den Vorfall öffentlich zu machen, sagt Kamluk - zumal Kaspersky bereits weitere Betroffene in westlichen Staaten, Asien und dem Nahen Osten ausgemacht habe.

Zusammenfassung: Das Anti-Viren-Unternehmen Kaspersky hat Spionagesoftware auf den eigenen Rechnern entdeckt. Sie erinnert stark an ein bereits bekanntes Spähprogramm namens Duqu. Einige Hinweise deuten auf Israel als möglichen Urheber der Software hin.

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 78 Beiträge
Alle Kommentare öffnen
    Seite 1    
1.
gympanse 10.06.2015
Kaspersky als Virenhäger? Noe. Diese Firma scheint nur in einem gut zu sein. Mit Pulbicity Aktionen in den Medien zu landen. Auch ein lukratives unternehmerisches Unterfangen.
2. Skeptisch...
quittenmarmelade 10.06.2015
Diese Cyber-Angriffs-Meldungen aus den Laboren der Sicherheitsfirmen machen mich immer etwas skeptisch. Das ist doch die beste und billigste Werbung für die alternativlose (sic!) Zusammenarbeit mit den einschlägigen Firmen.
3. Ja ne is klar...
Labs-Kautz 10.06.2015
Werden die Amerikaner angegriffen, waren es die Russen. Werden die Russen angegriffen, warens die Iraker. Wer greift denn die Iraker an? Die Libanesen? Und die Guatemalteken greifen dann sicher mexikanische Server an. *nerv*
4.
stelzenlaeufer 10.06.2015
Wie kann man nur als Mitarbeiter eines AV Herstellers einen eMail Anhang klicken? Das sollte doch eigentlich jeder wissen dass man alles was man unverlangt zugeschickt bekommt direkt in die Tonne haut. Aber wie heißt es so schön: Jeden Tag steht ein blöder auf.
5.
gucky2009 10.06.2015
Zitat von gympanseKaspersky als Virenhäger? Noe. Diese Firma scheint nur in einem gut zu sein. Mit Pulbicity Aktionen in den Medien zu landen. Auch ein lukratives unternehmerisches Unterfangen.
Alternativen? Im Gegensatz zu unser früher eingestzten Scanner Lösung (CA) die während ihrer Einsatzzeit zu 100% nur Fehlalarme produziert hat und Viren zu 0% erkannt hat, hat Kasperky schon ein paar mal berechtigterweise zugeschlagen.
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH





Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: