Rețeaua Kaspersky, infectată cu un virus | PC Forum Romania
Online | Acces la Net, servicii, software, site-uri utile. Totul despre Internet.

Rețeaua Kaspersky, infectată cu un virus

În primăvara anului 2015, experții Kaspersky Lab au descoperit un atac cibernetic care afecta câteva sisteme interne ale companiei. Experții Kaspersky Lab au demarat o investigație intensă și au descoperit o nouă platformă malware dezvoltată de unul dintre cei mai experimentați și puternici actori cibernetici din peisajul APT (Advanced Persistent Threat): un atacator necunoscut identificat drept Duqu.

Experții Kaspersky Lab consideră că atacatorii erau siguri că atacul cibernetic lansat nu ar fi putut fi descoperit. Grupul Duqu 2.0 a utilizat și câteva instrumente unice și noi care aproape că nu au lăsat nicio urmă. Atacatorii au exploatat vulnerabilități de tip zero-day, au blocat drepturile administratorului domeniului și apoi au distribuit malware în rețea prin intermediul fișierelor MSI (Microsoft Software Installer), utilizate de obicei de administratorii de sisteme pentru instalarea de software de la distanță pe computere cu Windows. Atacul cibernetic nu a lăsat niciun fișier pe disc în urmă și nicio schimbare de setare pe sistem, iar localizarea acestuia a devenit extrem de dificilă. Filosofia și strategia grupului Duqu 2.0 este mult mai complexă decât orice alt atac descoperit până acum în lumea APT-urilor.

Compania Kaspersky Lab nu este singura țintă a acestui actor foarte puternic. Experții Kaspersky Lab au descoperit și acte victime localizate în țări din Vest, Orientul Mijlociu și Asia. În plus, unele infecții din 2014 și 2015 sunt direct legate de P5+1 și evenimentele de negociere cu privire la un acord nuclear cu Iranul. Actorul din spatele Duqu pare să fi vizat evenimentele în cadrul cărora au avut loc discuții la nivel înalt. În plus, grupul Duqu 2.0 a lansat un atac similar legat de evenimentul de aniversare a 70 de ani de la eliberarea de la Auschwitz-Birkenau . La aceste întâlniri au participat mulți demnitari și politicieni importanți.

Inițial, experții Kaspersky lab au demarat un audit de securitate și o analiză a atacului. Auditul a inclus o verificare a codului sursă și a infrastructurii companiei. Auditul de securitate este în continuare în desfășurare și urmează să fie finalizat în câteva săptămâni. Experții Kaspersky Lab nu au descoperit alți indicatori ai altor activități periculoase în plus față de furtul de proprietate intelectuală. Analiza a arătat atacatorii au încercat să obțină acces la tehnologiile, cercetările continue și procesele interne Kaspersky Lab.

Experții Kaspersky Lab sunt siguri că partenerii și clienții sunt în siguranță și că nu există un impact asupra produselor, tehnologiilor și serviciilor companiei.
Privire de ansamblu asupra atacului cibernetic
La începutul anului 2015, în timpul unui test al unui prototip al soluției anti-APT dezvoltată de Kaspersky Lab, experții au descoperit semne ale unui atac complex asupra rețelei companiei. Ulterior, aceștia au demarat o investigație la nivel intern. O echipă formată din cercetători, experți în inginerie inversă și analiști de malware au lucrat pentru a analiza acest atac extraordinar și sofisticat. Kaspersky Lab publică toate detaliile tehnice despre Duqu 2.0 pe Securelist.
Concluzii preliminare:
1. Atacul a fost plănuit și implementat cu atenție de același grup aflat în spatele atacului Duqu descoperit în 2011. Experții Kaspersky Lab cred că această campanie a fost sponsorizată de un stat.
2. Experții Kaspersky Lab consideră că primul obiectiv al atacului a fost să obțină informații despre cele mai noi tehnologii ale companiei. Atacatorii au fost interesați în mod special de informații cu privire la tehnologiile inovatoare ale produselor precum Kaspersky Lab Secure Operating System, Kaspersky Fraud Prevention, Kaspersky Security Network și soluțiile și serviciile Anti-APT. Departamentele de vânzări, marketing, comunicare și legislativ nu au fost vizate de atacatori.
3. Informațiile accesate de atacatori cu pvirire la produsele companiei nu sunt critice. Experții Kaspersky Lab continuă să îmbunătățească performanțele soluțiilor de securitate din portofoliul companiei.
4. Atacatorii au arătat un interes special față de investigațiile curente Kaspersky Lab cu pvirire la cele mai avansate atacuri cu țintă specifică; erau la curent cu reputația companiei în ceea ce privește detectarea și lupta cu cele mai avansate și complexe atacuri de tip APT.
5. Atacatorii par să fi exploatat până la trei vulnerabilități de tip zero-day. Ultima vulnerabilitate de tip zero-day (CVE-2015-2360) a fost reparată de Microsoft pe 9 iunie 2015 (MS15-061), după ce a fost raportată de experții Kaspersky Lab.
Programele periculoase au utilizat o metodă avansată pentru a-și ascunde prezența în sistem: codul Duqu 2.0 există doar în memoria computerului și încearcă să șteargă orice urmă de pe hard drive.

Experții Kaspersky Lab afirmă că acestea sunt doar rezultatele preliminare ale investigației. Acest atac a fost implementat în mult mai multe zone și a vizat mai multe ținte. Din descoperirile de până acum ale companiei, Duqu 2.0 a fost utilizat pentru a ataca o serie de victime la nivel înalt cu interese geopolitice similare. Pentru a oferi mai multe informații și pentru a minimiza această amenințare, Kaspersky Lab publică raportul Indicators of Compromise și oferă asistență tuturor organizațiilor interesate.

Proceduri de protecție pentru Duqu 2.0 au fost deja integrate în produsele Kaspersky Lab care detectează această amenințare sub numele de HEUR:Trojan.Win32.Duqu2.gen.
Mai multe detalii despre malware-ul Duqu 2.0 malware și Indicators of Compromise se află în raportul tehnic.
Informații generale despre minimizarea atacurilor de tip APT – “How to mitigate 85% of all targeted attacks using 4 simple strategies”.

Scrie un comentariu