Kaspersky entdeckt Dante, die von staatlichen Hackern eingesetzte Schadsoftware.

Die Malware-Forschungsabteilung von Kaspersky Lab, Great, gab auf der SAS-Konferenz (ihrer Veranstaltung für Analysten und Branchenexperten) in Thailand die Entdeckung von Dante bekannt, einer Malware, die bei einer Reihe von Angriffen auf russische Verlage, Universitäten und Forschungszentren eingesetzt wurde. In seiner Rede zu dieser Entdeckung betonte Boris Larin, leitender Sicherheitsforscher bei Kaspersky, dass diese Kampagne eine schwerwiegende Sicherheitslücke in Chrome (und vielen anderen Browsern, die auf derselben Engine basieren) ausnutzte, die es ermöglichte, Malware durch einfaches Anklicken eines scheinbar harmlosen Links auszuführen.

Die Angriffskampagne war hochprofessionell und sorgfältig strukturiert. Die Links blieben nur wenige Stunden aktiv, um die Verbreitung der Schadsoftware zu verschleiern und die Angreifergruppe als wahrscheinliche Regierungsbehörde zu identifizieren. Der interessanteste Aspekt des Berichts zeigt sich jedoch erst, was nach dem Anklicken des schädlichen Links geschieht. Laut Larin war die heruntergeladene Schadsoftware unbekannt, hochtechnisch und bestens gegen Analysen geschützt. Trotz dieser Vorsichtsmaßnahmen gelang es den Forschern, den Code zu untersuchen und entdeckten, dass Dante eng mit dem Remote Control System verwandt ist: jener Schadsoftware von Hacking Team, die bis 2015 weltweit von Regierungen eingesetzt wurde, bis das Unternehmen nach einem Cyberangriff einen verheerenden Datenverlust erlitt. Dante ist daher höchstwahrscheinlich der Nachfolger des Remote Control Systems und wird von Memento Labs entwickelt, dem Unternehmen, das Hacking Team 2019 übernahm und dessen Erbe fortführte. Laut dem Inhaber von Memento Labs bestand das Projekt darin, eine komplett neue Schadsoftware zu entwickeln. Im Jahr 2023, ganze vier Jahre später, kündigte er auf einer privaten Konferenz in den Vereinigten Arabischen Emiraten die Entwicklung einer Malware namens Dante an, ohne jedoch weitere Informationen preiszugeben. Kasperskys Team folgte diesen spärlichen Spuren, durchforstete sein Malware- und Angriffsarchiv und stieß dabei auf zahlreiche wertvolle Informationen. RCS, die von Hacking Team entwickelte Malware, war noch lange im Einsatz, mindestens bis 2022. Danach wurde sie jedoch durch Dante ersetzt, eine völlig neue Malware, die allerdings einige bereits für RCS geschriebene Codefragmente ausnutzte. „Bei der Analyse des Dante-Codes“, so Larin, „erkannten wir dieselbe Handschrift und denselben Stil wie bei RCS – ein deutliches Zeichen für Kontinuität hinsichtlich der Entwickler des neuen Produkts.“

Hoffentlich sind die Kontrollen über die Nutzung diesmal strenger als jene, die Hacking Team zur Schließung gezwungen haben.