De Russische leverancier van antimalwaresoftware heeft de succesvolle aanval eerder dit jaar ontdekt bij een interne beveiligingscontrole. Nu, na een uitgebreid onderzoek, biecht het bedrijf op zelf slachtoffer te zijn geworden van complexe malware waar het juist bescherming tegen biedt. Uit de technische analyse van Kaspersky’s onderzoekers blijkt dat de binnengekomen malware gerelateerd is aan de beruchte Duqu-malware uit 2011. De nieuwe malware is dan ook Duqu 2.0 genoemd.

Ondergedoken om weer toe te slaan

Terwijl het oorspronkelijke Duqu toen na de ontdekking plots is ondergedoken, heeft Kaspersky toen al de verwachting geuit dat de makers ervan op een gegeven moment weer zouden toeslaan. Dat is dus inderdaad gebeurd, onder meer bij de securityleverancier zelf die eerder Duqu 1 uitgebreid heeft uitgeplozen. Toen is ook al de link gelegd met de geavanceerde Stuxnet-malware die het Iraanse kernenergieprogramma heeft gesaboteerd.

Net zoals zijn voorganger gebruikt Duqu 2 een zogeheten 0-day in Windows naast mogelijk nog twee andere gaten die oorspronkelijk ook 0-day waren. Een 0-day is een beveiligingsgat dat voorheen nog niet openlijk bekend was en waarvoor dus nog geen patch bestaat. Daarnaast benut de malware nieuwe, unieke technieken, meldt Kaspersky. Duqu 2 laat hierdoor nagenoeg geen sporen na en is extreem moeilijk te detecteren. De denkwijze en aanpak van de professionele aanvallers achter Duqu 2 lopen volgens het gehackte Kaspersky een generatie voor op wat er tot op heden is gezien in de wereld van geavanceerde, gerichte cyberaanvallen (APT’s). Meer details zijn te vinden in de technische analyse (PDF) van de nieuwe malware.

Serieuze cyberspionage

Het doel van de inbraak bij de securityleverancier was het vergaren van informatie over lopende onderzoeken naar malwarecampagnes en aanvallers. Kaspersky’s interne onderzoek naar de hack loopt nu nog en neemt ook de broncode van de eigen software onder de loep. Het bedrijf stelt dat er mogelijk intellectueel eigendom is gestolen maar dat er verder geen tekenen van andere kwaadaardige activiteit zijn ontdekt. Verstoring van interne processen of systemen is niet waargenomen. CEO Eugene Kaspersky stelt dat klanten en partners geen gevaar lopen.

Naast Kaspersky zijn ook een reeks organisaties geraakt in Azië, het Midden-Oosten en het Westen. Sommige van deze digitale infiltraties, die dit jaar en vorig jaar zijn uitgevoerd, zijn gelinkt aan de locaties voor toponderhandelingen met Iran over een nucleaire deal, aldus Kaspersky. De Verenigde Staten, Groot-Brittannië, Duitsland, Frankrijk, Rusland en China hebben daarbij in de Europese Unie onderhandeld met Iran over het kernwapenprogramma van dat land.

Internationale politiek

Verder hebben de aanvallers achter Duqu 2  in januari diverse hoge ambtenaren en politici op de korrel genomen bij een bijeenkomst voor de zeventigste verjaardag van de bevrijding van nazi-concentratiekamp Auschwitz. De verdenking voor de daders achter Stuxnet en verwanten als Duqu en nu Duqu 2 ligt op de Verenigde Staten en Israël.