Duqu revine: Kaspersky Lab dezvăluie un atac cibernetic cu victime din Vest, Orientul Mijlociu și Asia Duqu revine: Kaspersky Lab dezvăluie un atac cibernetic cu victime din Vest, Orientul Mijlociu și Asia
În primăvara anului 2015, experții Kaspersky Lab au descoperit un atac cibernetic care afecta câteva sisteme interne ale companiei. Experții Kaspersky Lab au demarat... Duqu revine: Kaspersky Lab dezvăluie un atac cibernetic cu victime din Vest, Orientul Mijlociu și Asia

În primăvara anului 2015, experții Kaspersky Lab au descoperit un atac cibernetic care afecta câteva sisteme interne ale companiei. Experții Kaspersky Lab au demarat o investigație intensă și au descoperit o nouă platformă malware dezvoltată de unul dintre cei mai experimentați și puternici actori cibernetici din peisajul APT (Advanced Persistent Threat): un atacator necunoscut identificat drept Duqu.

Experții Kaspersky Lab consideră că atacatorii erau siguri că atacul cibernetic lansat nu ar fi putut fi descoperit. Grupul Duqu 2.0 a utilizat și câteva instrumente unice și noi care aproape că nu au lăsat nicio urmă. Atacatorii au exploatat vulnerabilități de tip zero-day, au blocat drepturile administratorului domeniului și apoi au distribuit malware în rețea prin intermediul fișierelor MSI (Microsoft Software Installer), utilizate de obicei de administratorii de sisteme pentru instalarea de software de la distanță pe computere cu Windows. Atacul cibernetic nu a lăsat niciun fișier pe disc în urmă și nicio schimbare de setare pe sistem, iar localizarea acestuia a devenit extrem de dificilă. Filosofia și strategia grupului Duqu 2.0 este mult mai complexă decât orice alt atac descoperit până acum în lumea APT-urilor.

Compania Kaspersky Lab nu este singura țintă a acestui actor foarte puternic. Experții Kaspersky Lab au descoperit și acte victime localizate în țări din Vest, Orientul Mijlociu și Asia. În plus, unele infecții din 2014 și 2015 sunt direct legate de P5+1 și evenimentele de negociere cu privire la un acord nuclear cu Iranul. Actorul din spatele Duqu pare să fi vizat evenimentele în cadrul cărora au avut loc discuții la nivel înalt. În plus, grupul Duqu 2.0 a lansat un atac similar legat de evenimentul de aniversare a 70 de ani de la eliberarea de la Auschwitz-Birkenau[1]. La aceste întâlniri au participat mulți demnitari și politicieni importanți.

Inițial, experții Kaspersky lab au demarat un audit de securitate și o analiză a atacului. Auditul a inclus o verificare a codului sursă și a infrastructurii companiei. Auditul de securitate este în continuare în desfășurare și urmează să fie finalizat în câteva săptămâni. Experții Kaspersky Lab nu au descoperit alți indicatori ai altor activități periculoase în plus față de furtul de proprietate intelectuală. Analiza a arătat atacatorii au încercat să obțină acces la tehnologiile, cercetările continue și procesele interne Kaspersky Lab,

Experții Kaspersky Lab sunt siguri că partenerii și clienții sunt în siguranță și că nu există un impact asupra produselor, tehnologiilor și serviciilor companiei.

Privire de ansamblu asupra atacului cibernetic

La începutul anului 2015, în timpul unui test al unui prototip al soluției anti-APT dezvoltată de Kaspersky Lab, experții au descoperit semne ale unui atac complex asupra rețelei companiei. Ulterior, aceștia au demarat o investigație la nivel intern. O echipă formată din cercetători, experți în inginerie inversă și analiști de malware au lucrat pentru a analiza acest atac extraordinar și sofisticat. Kaspersky Lab publică toate detaliile tehnice despre Duqu 2.0 pe Securelist.

Concluzii preliminare:

  1. Atacul a fost plănuit și implementat cu atenție de același grup aflat în spatele atacului Duqu descoperit în 2011. Experții Kaspersky Lab cred că această campanie a fost sponsorizată de un stat.
  2. Experții Kaspersky Lab consideră că primul obiectiv al atacului a fost să obțină informații despre cele mai noi tehnologii ale companiei. Atacatorii au fost interesați în mod special de informații cu privire la tehnologiile inovatoare ale produselor precum Kaspersky Lab Secure Operating System, Kaspersky Fraud Prevention, Kaspersky Security Network și soluțiile și serviciile Anti-APT. Departamentele de vânzări, marketing, comunicare și legislativ nu au fost vizate de atacatori.
  3. Informațiile accesate de atacatori cu pvirire la produsele companiei nu sunt critice. Experții Kaspersky Lab continuă să îmbunătățească performanțele soluțiilor de securitate din portofoliul companiei.
  4. Atacatorii au arătat un interes special față de investigațiile curente Kaspersky Lab cu pvirire la cele mai avansate atacuri cu țintă specifică; erau la curent cu reputația companiei în ceea ce privește detectarea și lupta cu cele mai avansate și complexe atacuri de tip APT.
  5. Atacatorii par să fi exploatat până la trei vulnerabilități de tip zero-day. Ultima vulnerabilitate de tip zero-day (CVE-2015-2360) a fost reparată de Microsoft pe 9 iunie 2015 (MS15-061), după ce a fost raportată de experții Kaspersky Lab.

Programele periculoase au utilizat o metodă avansată pentru a-și ascunde prezența în sistem: codul Duqu 2.0 există doar în memoria computerului și încearcă să șteargă orice urmă de pe hard drive.

Imaginea de ansamblu

„Atacatorii din spatele Duqu 2.0 reprezintă una dintre cele mai experimentate și puternice grupuri APT și au făcut tot posibilul să rămână sub acoperire,” spune Costin Raiu, Director Global Research and Analysis Team din cadrul Kaspersky Lab. „Acest atac foarte sofisticat a utilizat până la trei exploit-uri de tip zero-day, ceea ce este impresionant – costurile trebuie să fi fost foarte mari. Pentru a rămâne ascuns, malware-ul acționează doar la nivel de kernel, iar soluțiile de securitate pot întâmpina dificultăți de detectare. În plus, malware-ul nu se conectează direct la un server de comandă și control pentru a primi instrucțiuni. Atacatorii infectează dispozitive de rețea prin instalarea driverelor periculoase care transferă tot traficul din rețeaua internă către serverele de comandă și control ale atacatorilor,” încheie Costin Raiu.

„Spionarea companiilor de securitate cibernetică este o tendință foarte periculoasă,” spune Eugene Kaspersky, CEO Kaspersky Lab. „Software-ul de securitate este ultimul resort de protecție atât pentru business-uri cât și pentru clienții din întreaga lume, în timp ce echipamentul de hardware și de rețea poate fi compromis. În plus, mai devreme sau mai târziu, tehnologiile utilizate în atacurile cu țintă specifică similare vor fi examinate și utilizate de teroriști și infractori cibernetici profesioniști. Acesta este un scenariu extrem de serios și totodată foarte posibil,” încheie Eugene Kaspersky.

„Raportarea acestor incidente este singura modalitate de a face lumea un loc mai sigur. Asta ne ajută să îmbunătățim design-ul de securitate al infrastructurii companiei și trimite totoată un semnal direct dezvoltatorilor acestui malware: toate operațiunile ilegale vor fi oprite și puse sub investigație. Singura modalitate de a proteja lumea este ca agențiile de aplicare a legii și companiile de securitate să lupte cu aceste atacuri în mod deschis. Noi ne luăm angajamentul ca mereu să raportăm aceste atacuri în ciuda originii lor,” mai comentează Eugene Kaspersky.

Experții Kaspersky Lab asigură clienții și partenerii de continuitatea protecției companiei împotriva oricărui atac cibernetic. Compania Kaspersky Lab se dedică protejării clienților și menținerii încrederii acestora; experții Kaspersky Lab adoptă toți pașii necesari pentru a analiza acest incident și pentru a preveni unul similar pe viitor. Kaspersky Lab  a contactat departamentele de investigații cibernetice din diferite țări pentru a cere investigații speciale cu privire la acest atac.

Experții Kaspersky Lab afirmă că acestea sunt doar rezultatele preliminare ale investigației. Acest atac a fost implementat în mult mai multe zone și a vizat mai multe ținte. Din descoperirile de până acum ale companiei, Duqu 2.0 a fost utilizat pentru a ataca o serie de victime la nivel înalt cu interese geopolitice similare. Pentru a oferi mai multe informații și pentru a minimiza această amenințare, Kaspersky Lab publică raportul Indicators of Compromise și oferă asistență tuturor organizațiilor interesate.

Proceduri de protecție pentru Duqu 2.0 au fost deja integrate în produsele Kaspersky Lab care detectează această amenințare sub numele de HEUR:Trojan.Win32.Duqu2.gen.

[1]                      http://70.auschwitz.org/index.php?lang=en

No comments so far.

Be first to leave comment below.

Your email address will not be published. Required fields are marked *