Duqu revine: Kaspersky Lab dezvaluie un atac cibernetic complex care a vizat reteaua companiei precum si alte victime importante din Vest, Orientul Mijlociu si Asia
- Kaspersky Lab a descoperit Duqu 2.0 – o platforma malware extrem de sofisticata care exploateaza pana la trei vulnerabilitati de tip zero-day.
- Infectii cu malware corelate cu evenimentele P5+1 si cu evenimentele in cadrul carora au loc intalniri la nivel inalt intre lideri mondiali.
- Expertii Kaspersky Lab s-au asigurat ca partenerii si clientii companiei sunt protejati si ca nu exista niciun impact asupra produselor, tehnologiilor si serviciilor oferite.
In primavara anului 2015, expertii Kaspersky Lab au descoperit un atac cibernetic care afecta cateva sisteme interne ale companiei. Expertii Kaspersky Lab au demarat o investigatie intensa si au descoperit o noua platforma malware dezvoltata de unul dintre cei mai experimentati si puternici actori cibernetici din peisajul APT (Advanced Persistent Threat): un atacator necunoscut identificat drept Duqu.
Expertii Kaspersky Lab considera ca atacatorii erau siguri ca atacul cibernetic lansat nu ar fi putut fi descoperit. Grupul Duqu 2.0 a utilizat si cateva instrumente unice si noi care aproape ca nu au lasat nicio urma. Atacatorii au exploatat vulnerabilitati de tip zero-day, au blocat drepturile administratorului domeniului si apoi au distribuit malware in retea prin intermediul fisierelor MSI (Microsoft Software Installer), utilizate de obicei de administratorii de sisteme pentru instalarea de software de la distanta pe computere cu Windows. Atacul cibernetic nu a lasat niciun fisier pe disc in urma si nicio schimbare de setare pe sistem, iar localizarea acestuia a devenit extrem de dificila. Filosofia si strategia grupului Duqu 2.0 este mult mai complexa decat orice alt atac descoperit pana acum in lumea APT-urilor.
Compania Kaspersky Lab nu este singura tinta a acestui actor foarte puternic. Expertii Kaspersky Lab au descoperit si acte victime localizate in tari din Vest, Orientul Mijlociu si Asia. In plus, unele infectii din 2014 si 2015 sunt direct legate de P5+1 si evenimentele de negociere cu privire la un acord nuclear cu Iranul. Actorul din spatele Duqu pare sa fi vizat evenimentele in cadrul carora au avut loc discutii la nivel inalt. In plus, grupul Duqu 2.0 a lansat un atac similar legat de evenimentul de aniversare a 70 de ani de la eliberarea de la Auschwitz-Birkenau1. La aceste intalniri au participat multi demnitari si politicieni importanti.
Initial, expertii Kaspersky lab au demarat un audit de securitate si o analiza a atacului. Auditul a inclus o verificare a codului sursa si a infrastructurii companiei. Auditul de securitate este in continuare in desfasurare si urmeaza sa fie finalizat in cateva saptamani. Expertii Kaspersky Lab nu au descoperit alti indicatori ai altor activitati periculoase in plus fata de furtul de proprietate intelectuala. Analiza a aratat atacatorii au incercat sa obtina acces la tehnologiile, cercetarile continue si procesele interne Kaspersky Lab,
Expertii Kaspersky Lab sunt siguri ca partenerii si clientii sunt in siguranta si ca nu exista un impact asupra produselor, tehnologiilor si serviciilor companiei.
Privire de ansamblu asupra atacului cibernetic
La inceputul anului 2015, in timpul unui test al unui prototip al solutiei anti-APT dezvoltata de Kaspersky Lab, expertii au descoperit semne ale unui atac complex asupra retelei companiei. Ulterior, acestia au demarat o investigatie la nivel intern. O echipa formata din cercetatori, experti in inginerie inversa si analisti de malware au lucrat pentru a analiza acest atac extraordinar si sofisticat. Kaspersky Lab publica toate detaliile tehnice despre Duqu 2.0 pe Securelist.
Concluzii preliminare:
1. Atacul a fost planuit si implementat cu atentie de acelasi grup aflat in spatele atacului Duqu descoperit in 2011. Expertii Kaspersky Lab cred ca aceasta campanie a fost sponsorizata de un stat.
2. Expertii Kaspersky Lab considera ca primul obiectiv al atacului a fost sa obtina informatii despre cele mai noi tehnologii ale companiei. Atacatorii au fost interesati in mod special de informatii cu privire la tehnologiile inovatoare ale produselor precum Kaspersky Lab Secure Operating System, Kaspersky Fraud Prevention, Kaspersky Security Network si solutiile si serviciile Anti-APT. Departamentele de vanzari, marketing, comunicare si legislativ nu au fost vizate de atacatori.
3. Informatiile accesate de atacatori cu pvirire la produsele companiei nu sunt critice. Expertii Kaspersky Lab continua sa imbunatateasca performantele solutiilor de securitate din portofoliul companiei.
4. Atacatorii au aratat un interes special fata de investigatiile curente Kaspersky Lab cu pvirire la cele mai avansate atacuri cu tinta specifica; erau la curent cu reputatia companiei in ceea ce priveste detectarea si lupta cu cele mai avansate si complexe atacuri de tip APT.
5. Atacatorii par sa fi exploatat pana la trei vulnerabilitati de tip zero-day. Ultima vulnerabilitate de tip zero-day (CVE-2015-2360) a fost reparata de Microsoft pe 9 iunie 2015 (MS15-061), dupa ce a fost raportata de expertii Kaspersky Lab.
Programele periculoase au utilizat o metoda avansata pentru a-si ascunde prezenta in sistem: codul Duqu 2.0 exista doar in memoria computerului si incearca sa stearga orice urma de pe hard drive.
Imaginea de ansamblu
„Atacatorii din spatele Duqu 2.0 reprezinta una dintre cele mai experimentate si puternice grupuri APT si au facut tot posibilul sa ramana sub acoperire,” spune Costin Raiu, Director Global Research and Analysis Team din cadrul Kaspersky Lab. „Acest atac foarte sofisticat a utilizat pana la trei exploit-uri de tip zero-day, ceea ce este impresionant – costurile trebuie sa fi fost foarte mari. Pentru a ramane ascuns, malware-ul actioneaza doar la nivel de kernel, iar solutiile de securitate pot intampina dificultati de detectare. In plus, malware-ul nu se conecteaza direct la un server de comanda si control pentru a primi instructiuni. Atacatorii infecteaza dispozitive de retea prin instalarea driverelor periculoase care transfera tot traficul din reteaua interna catre serverele de comanda si control ale atacatorilor,” incheie Costin Raiu.
„Spionarea companiilor de securitate cibernetica este o tendinta foarte periculoasa,” spune Eugene Kaspersky, CEO Kaspersky Lab. „Software-ul de securitate este ultimul resort de protectie atat pentru business-uri cat si pentru clientii din intreaga lume, in timp ce echipamentul de hardware si de retea poate fi compromis. In plus, mai devreme sau mai tarziu, tehnologiile utilizate in atacurile cu tinta specifica similare vor fi examinate si utilizate de teroristi si infractori cibernetici profesionisti. Acesta este un scenariu extrem de serios si totodata foarte posibil,” incheie Eugene Kaspersky.
„Raportarea acestor incidente este singura modalitate de a face lumea un loc mai sigur. Asta ne ajuta sa imbunatatim design-ul de securitate al infrastructurii companiei si trimite totoata un semnal direct dezvoltatorilor acestui malware: toate operatiunile ilegale vor fi oprite si puse sub investigatie. Singura modalitate de a proteja lumea este ca agentiile de aplicare a legii si companiile de securitate sa lupte cu aceste atacuri in mod deschis. Noi ne luam angajamentul ca mereu sa raportam aceste atacuri in ciuda originii lor,” mai comenteaza Eugene Kaspersky.
Expertii Kaspersky Lab asigura clientii si partenerii de continuitatea protectiei companiei impotriva oricarui atac cibernetic. Compania Kaspersky Lab se dedica protejarii clientilor si mentinerii increderii acestora; expertii Kaspersky Lab adopta toti pasii necesari pentru a analiza acest incident si pentru a preveni unul similar pe viitor. Kaspersky Lab a contactat departamentele de investigatii cibernetice din diferite tari pentru a cere investigatii speciale cu privire la acest atac.
Expertii Kaspersky Lab afirma ca acestea sunt doar rezultatele preliminare ale investigatiei. Acest atac a fost implementat in mult mai multe zone si a vizat mai multe tinte. Din descoperirile de pana acum ale companiei, Duqu 2.0 a fost utilizat pentru a ataca o serie de victime la nivel inalt cu interese geopolitice similare. Pentru a oferi mai multe informatii si pentru a minimiza aceasta amenintare, Kaspersky Lab publica raportul Indicators of Compromise si ofera asistenta tuturor organizatiilor interesate.
Proceduri de protectie pentru Duqu 2.0 au fost deja integrate in produsele Kaspersky Lab care detecteaza aceasta amenintare sub numele de HEUR:Trojan.Win32.Duqu2.gen.
Mai multe detalii despre malware-ul Duqu 2.0 malware si Indicators of Compromise se afla in raportul tehnic.