De makers van het Duqu-virus hebben ingebroken bij Kaspersky en hebben het netwerk van dat bedrijf geïnfecteerd met een nieuw virus. Dat zegt het bedrijf zelf. Ook zouden de makers van de software - mogelijk Israël of de VS - gesprekken tussen het westen en Iran hebben afgeluisterd.
Kaspersky kwam de infectie eerder dit jaar op het spoor, meldt het bedrijf in een rapport. De malware zou pas een paar maanden na de eerste infectie zijn ontdekt. Volgens Kaspersky gaat het om een heel geraffineerde aanval, waarbij in ieder geval één maar mogelijk zelfs drie zero-days zijn gebruikt. Dat zijn beveiligingsproblemen waarvoor nog geen patch beschikbaar is.
Kaspersky - dat claimt dat klanten van het bedrijf geen gevaar lopen, al weet het bedrijf die claim niet te staven - stelt dat waarschijnlijk dezelfde partij als die van het Duqu-virus achter de aanval zit. Het nieuwe virus heeft daarom de naam Duqu 2.0 gekregen. Ook beveiligingsbedrijf Crysys, dat Duqu 1.0 ontdekte, ziet veel overeenkomsten, onder meer in de manier van programmeren en compileren.
"De software was vrijwel onzichtbaar en heel moeilijk te ontdekken", zei directeur Eugene Kaspersky van het bedrijf. "Geen sporen in het register, slechts een klein programma in het geheugen." Volgens Kaspersky deed de software zich voor als een update-programma om zich in het netwerk te verspreiden.
Volgens Kaspersky waren de aanvallers geïnteresseerd in het onderzoek van het beveiligingsbedrijf. Het is onduidelijk of de aanvallers gevoelige gegevens hebben kunnen buitmaken, maar gezien ze een aantal maanden in het netwerk van Kaspersky hebben gezeten, is dat wel waarschijnlijk.
In de media wordt gewezen naar Israël als verantwoordelijke voor de aanval, maar Kaspersky wil dat niet bevestigen. Israël wordt vaak aangewezen als de verantwoordelijke voor het oorspronkelijke Duqu-virus. Het land heeft dat zelf nooit erkend. Ook wordt soms gewezen naar de Verenigde Staten; Duqu vertoont namelijk grote gelijkenissen met het Stuxnet-virus, dat was gericht op Iraanse nucleaire installaties. De Verenigde Staten worden gezien als verantwoordelijken voor dat virus.
Kaspersky heeft bij een klein deel van zijn klanten infecties gevonden van de malware. De meeste getroffen klanten bevonden zich buiten Europa. Omdat het gaat om een virus dat nog niet bekend was, werd het niet eerder gedetecteerd. Onder andere hotels waar het Westen met Iran diplomatieke onderhandelingen zou hebben gevoerd, zouden zijn getroffen door het virus. Daarbij zouden de aanvallers toegang hebben gehad tot de hele ict-infrastructuur. Israël was een fel tegenstander van die gesprekken.
De aanvallers zouden met behulp van het virus mogelijk ook hebben gespioneerd op de zeventigste verjaardag van de bevrijding van het concentratiekamp Auschwitz-Birkenau. Waarom Israël of de Verenigde Staten dat evenement zou hebben willen bespioneren, is onduidelijk.
Update, 16:35: Dit artikel meldde dat 270.000 infecties zijn waargenomen. Dat is echter het aantal klanten dat Kaspersky heeft, niet het aantal infecties. Het artikel is hierop aangepast.