10 июня в официальном блоге Kaspersky Lab появился пост Евгения Касперского, в котором глава антивирусной лаборатории рассказал о таргетированной атаке на внутреннюю корпоративную сеть Kaspersky Lab, получившей название Duqu 2.0.
Атака на корпоративную сеть Kaspersky Lab была обнаружена весной 2015 года. Согласно предварительным результатам расследования, «Лаборатория Касперского» была не единственной мишенью атакующих, уже обнаружены и другие жертвы в западных, ближневосточных и азиатских странах (скорее всего, пострадавших гораздо больше). «Способ мышления и тактика группы Duqu 2.0 на целое поколение опережают любые кибератаки и вредоносные кампании, встречавшиеся ранее», —пишет «Лаборатория Касперского».
Напомню, что Duqu версии 1.0 была обнаружена 4 года назад в Венгрии, Австрии, Индонезии, Великобритании, Судане и Иране. Некоторые свидетельства указывают на то, что платформа создавалась для шпионажа за иранской ядерной программой, а также для заражения сетей органов сертификации с целью кражи цифровых сертификатов, которые впоследствии использовались для подписи вредоносных файлов. Duqu активно эксплуатировала 0day в Windows, а дополнительная малварь доставлялась в системы жертв под видом Microsoft Software Installers (MSI). Вредоносное ПО не создавало и не модифицировало какие-либо дисковые файлы или системные настройки, что сделало его обнаружение крайне сложным.
Duqu 2.0 —достойный наследник первой версии. Платформа сконструирована таким образом, что не нуждается в закреплении – она почти полностью базируется в памяти операционной системы. Эксперты Kaspersky Lab отмечают, что это скверный знак: «Создатели Duqu 2.0 были достаточно уверены в своих силах, чтобы подготовить и поддерживать кибершпионскую операцию исключительно в памяти операционной системы, без применения каких-либо механизмов закрепления». Кроме того Duqu 2.0 использует шифрование, оно всегда разное и с разными алгоритмами. В блоге Евгений Касперский пишет: «Есть ощущение, что операторы Duqu 2.0 были убеждены, что обнаружить эту шпионскую программу невозможно в принципе». Более подробная информация представлена в аналитическом отчете и техническом докладе компании.
Атаку заметили в ходе тестирования прототипа решения для защиты от подобных угроз – сложных целевых атак и кибершпионажа. Похоже, что главной целью атакующих было получение информации о технологиях, исследованиях и внутренних операциях «Лаборатории Касперского». Хакеры проявляли интерес к интеллектуальной собственности и разработкам компании для обнаружения и анализа таргетированных атак и кибершпионажа, а также к информации о текущих расследованиях Kaspersky Lab. Организаторы атаки были особенно заинтересованы в деталях разработки таких продуктов и сервисов, как безопасная операционная система «Лаборатории Касперского», Kaspersky Fraud Prevention, Kaspersky Security Network и решение для защиты от сложных целевых атак и кибершпионажа.
В целом «Лаборатория Касперского» не пострадала. Исходные коды и вирусные базы проверены: ни продукты, ни сервисы не были скомпрометированы, клиентам беспокоиться не о чем. Кроме того, компания вынесла из случившегося урок. Евгений Касперский пишет: «Мы используем эту атаку для улучшения наших технологий. Новое знание всегда полезно, и чем больше нам известно о киберугрозах, тем лучшую защиту мы можем разработать. И, конечно же, мы уже добавили алгоритмы обнаружения Duqu 2.0 в наши продукты».
Разумеется, всем интересно, кто стоит за данной атакой? Касперский достаточно жестко напоминает о позиции компании, относительно таких вопросов: «Я говорил это не раз и готов повторить снова: мы не занимаемся атрибуцией кибератак. Мы специалисты в области безопасности, причем лучшие в своей сфере, и мы всегда вне политики. При этом мы сторонники ответственного раскрытия информации, поэтому мы подали заявления в правоохранительные органы нескольких стран с целью инициировать заведение уголовных дел».
