Kaspersky Lab deckt Cyberangriff auf sein Unternehmensnetzwerk auf

10 Jun 2015

Ich habe eine gute und eine schlechte Nachricht.

Die schlechte Nachricht

Die schlechte Nachricht ist, dass wir eine fortschrittliche Attacke (APT – Advanced Persistent Threat) auf unser eigenes internes Netzwerk entdeckt haben. Sie war sehr komplex, hinterließ keine Spuren, nutzte verschiedene Zero-Day Sicherheitslücken aus, und wir sind uns ziemlich sicher, dass eine staatliche Einrichtung hinter dieser Attacke steckt. Wir haben den Angriff Duqu 2.0 genannt. Warum Duqu 2.0? Und wo sind die Gemeinsamkeiten mit Duqu? – Das beantworten wir hier.

duqu2_w

Die gute Nachricht – Teil 1: Wir haben den Angriff aufgedeckt!

Der erste Teil der guten Nachricht ist, dass wir hier etwas ganz Großes gefunden haben! Die Kosten für die Entwicklung so eines schädlichen Frameworks sind kolossal. Die Denkweise dahinter ist eine ganze Generation weiter als alles, was wir bisher gesehen haben – der Angriff nutzt eine Reihe von Tricks, die es sehr schwer machen, ihn zu entdecken und zu neutralisieren. Es sieht so aus, als wären sich die Hintermänner von Duqu 2.0 sicher, dass ihre heimlichen Aktionen nicht aufgedeckt werden könnten. Aber dennoch haben wir genau das geschafft – mit der Alpha-Version unserer Anti-APT-Lösung, die genau dafür entwickelt wurde, um die komplexesten zielgerichteten Attacken zu bekämpfen.

Die gute Nachricht – 2: Unsere Kunden sind sicher

Das Wichtigste ist, dass weder unsere Produkte noch unsere Dienste kompromittiert wurden, so dass für unsere Kunden und deren Daten keinerlei Gefahr besteht.

Alle Details

Die Angreifer interessierten sich für unser geistiges Eigentum und proprietäre Technologien, die wir zur Entdeckung und Analyse von APTs nutzen, sowie für Informationen über laufende Untersuchungen von anspruchsvollen, zielgerichteten Attacken. Ein Hauptaugenmerk lag dabei auf unseren in Entwicklung befindlichen Produkten, etwa unserem sicheren Betriebssystem und Anti-APT-Lösungen sowie auf etablierten Technologien wie dem Kaspersky Security Network und der Kaspersky Fraud Prevention. Neben dem Diebstahl geistigen Eigentums konnten wir keine weiteren Hinweise auf schädliche Aktivitäten entdecken. Auch wurden keine Prozesse oder Systeme beeinträchtigt.

Die Forensiker von Kaspersky Lab fanden heraus, dass das Unternehmen nicht das einzige Ziel der mächtigen Hintermänner von Duqu 2.0 ist. Andere Opfer wurden in westlichen Ländern sowie in Ländern des Nahen Ostens und Asiens gefunden. Einige der Infektionen standen im Zusammenhang mit den Verhandlungen über ein Nuklearabkommen zwischen den 5+1-Staaten und dem Iran. Neben den Atomverhandlungen waren auch die Veranstaltungen anlässlich des 70. Jahrestags der Befreiung des Konzentrationslagers Auschwitz-Birkenau das Ziel einer ähnlichen Attacke.

Auch wenn unsere Untersuchungen noch laufen, gibt es keinen Zweifel daran, dass der Angriff geografisch viel ausgedehnter und gegen viele weitere Ziele gerichtet ist. Ich denke, dass die Hintermänner von Duqu 2.0 ihre Präsenz in den infizierten Netzwerken nach unserer Aufdeckung des Angriffs verwischt haben, um nicht entdeckt zu werden.

Duqu 2.0 spioniert hochrangige Ziele aus, aber das ist nur die Spitze des Eisbergs

Wir nutzen den Angriff, um unsere Abwehrtechnologien noch weiter zu verbessern. Neue Erkenntnisse helfen immer, und mehr Wissen zu den Bedrohungen unterstützt uns bei der Entwicklung neuer Schutzmaßnahmen. Und natürlich erkennen und bekämpfen unsere Produkte Duqu 2.0 bereits. Die Kaspersky-Lösungen erkennen den Schädling als HEUR:Trojan.Win32.Duqu2.gen.

Wie bereits erwähnt, sind die Untersuchungen noch nicht abgeschlossen und sie werden noch einige Wochen andauern, um ein Gesamtbild des Vorfalls zu bekommen. Dennoch können wir ausschließen, dass unsere Schadprogrammdatenbank von dem Angriff betroffen war und die Angreifer hatten auch keinen Zugriff auf unsere Kundendaten.

Leider wird die Bekanntmachung einer solchen Cyberattacke vor allem als schädlich für die Unternehmensreputation gewertet. Tatsächlich ist das ein falscher und gefährlicher Schluss und die Wahrheit ist, dass jedes Unternehmen zum Opfer einer fortschrittlichen, zielgerichteten Attacke werden kann. Warum es gefährlich ist einen Cyberangriff zu verheimlichen? Weil das Cyberkriminellen und von Regierungen unterstützen Hackergruppen hilft, da die öffentliche Diskussion und die Information über die schädlichen Aktivitäten dieser Gruppen nicht stattfindet. Zudem wird dann die Information, wie man sich vor diesen Attacken schützen kann, nicht weit genug verbreitet.

Deshalb möchten wir mit der Veröffentlichung dieses Vorfalls und des technischen Reports zu Duqu 2.0 auch eine Botschaft an andere Unternehmen senden und sie ermutigen, Details über Cyberattacken auf ihre Netzwerke zu veröffentlichen. Unser Fall zeigt, dass selbst eine führende IT-Sicherheitsfirma das Ziel eines mit entsprechenden Ressourcen ausgestatteten APT-Akteurs werden kann.

Wer steckt hinter dieser Attacke? Ein Staat?

Lassen Sie es mich noch einmal betonen: Wir schreiben diese Attacke niemandem zu. Wir sind Sicherheits-Experten, und zwar die Besten – und wir möchten unsere Kernkompetenz nicht damit schmälern, dass wir uns in Politik einmischen. Aber gleichzeitig haben wir als Vorreiter der sinnvollen Offenlegung Anzeigen bei Strafverfolgungsbehörden verschiedener Länder erstattet, um eine polizeiliche Untersuchung zu starten. Die letzte verbliebene Zero-Day-Lücke CVE-2015-2306 wurde, nachdem diese von unseren Experten gemeldet wurde, durch Microsoft am 9. Juni 2015 gepatcht. (Vergessen Sie nicht, das aktuelle Windows-Update zu installieren).

Ich möchte, dass jeder seine Arbeit machen kann, um die Welt zum Besseren zu verändern.

Zuletzt möchte ich noch etwas sehr ernstes ansprechen:

Dass Regierungen IT-Sicherheitsfirmen angreifen ist einfach ungeheuerlich. Wir sollten eigentlich auf der gleichen Seite wie verantwortungsbewusste Staaten stehen und das gleiche Ziel einer sicheren und geschützten Cyber-Welt haben. Wir teilen unser Wissen, um Cyberkriminalität zu bekämpfen und helfen dabei, dass Untersuchungen in diesem Bereich effektiver werden. Es gibt viele Dinge, die wir tun, um den Cyberspace zu einem besseren Ort zu machen. Aber jetzt merken wir, dass manche Mitglieder dieser „Gemeinschaft“ die Gesetze, Berufsethik oder den gesunden Menschenverstand nicht respektieren.

Wer im Glashaus sitzt, sollte nicht mit Steinen werfen!

Für mich ist es ein weiteres klares Signal dafür, dass wir globale Regeln benötigen, um die digitale Spionage einzudämmen und Cyberkriege zu verhindern. Wenn verschiedene undurchsichtige Gruppen, die oft staatliche Verbindungen haben, das Internet als Wilden Westen ohne Regeln begreifen und straflos Amok laufen, wird das den nachhaltigen globalen Fortschritt der Informationstechnologien einem ernsten Risiko aussetzen. Ich rufe also wieder einmal alle verantwortungsbewussten Regierungen auf, zusammenzukommen und sich auf solche Regeln zu einigen – und gegen Cyberkriminalität und Schadprogramme zu kämpfen, statt sie zu unterstützen.