«Лаборатория Касперского» сообщила об обнаружении таргетированной атаки на внутреннюю корпоративную сеть компании. Кибервторжение было зафиксировано ранней весной 2015 года, однако известно о нем стало 10 июня. В ходе последовавшего за этим расследования была обнаружена новая вредоносная платформа, имеющая непосредственное отношение к одной из самых сложных и загадочных кампаний кибершпионажа – Duqu, раскрытой в 2011 году. Новая платформа получила название Duqu 2.0.
Эксперты компании полагают, что атакующие были уверены в том, что их деятельность не может быть обнаружена – они использовали уникальные и ранее не встречавшиеся инструменты и практически не оставляли следов в системе. Атака осуществлялась при помощи эксплойтов, использовавших уязвимости нулевого дня в OC Windows, а дополнительное вредоносное ПО доставлялось в атакованные системы под видом Microsoft Software Installers (MSI) – установочных файлов, используемых системными администраторами для инсталляции ПО на компьютеры в удаленном режиме, говорится в сообщении «ЛК». Вредоносное ПО не создавало и не модифицировало какие-либо дисковые файлы или системные настройки, что делало детектирование атаки затруднительным.
«Лаборатория Касперского» оказалась не единственной целью атакующих – эксперты компании обнаружили других жертв в ряде западных, ближневосточных и азиатских стран. Среди наиболее заметных мишеней новой кампании Duqu в 2014-2015 годах стали площадки для переговоров по иранской ядерной программе «Группы 5+1» и мероприятий, посвященных 70-й годовщине освобождения узников Освенцима. Во всех этих событиях принимали участие высокопоставленные лица и политики. Как отмечает «ЛК», главной задачей атакующих было получение информации о технологиях и исследованиях Лаборатории. Помимо попыток кражи интеллектуальной собственности, никакой другой вредоносной активности, в том числе вмешательства в процессы или системы, в корпоративной сети компании зафиксировано не было. «Лаборатория Касперского» уверена, что инцидент не оказал никакого влияния на продукты, технологии и сервисы компании. Ее клиенты и партнеры в безопасности.
Подробности атаки раскрывает в своем блоге Евгений Касперский. Он пишет, что «злоумышленники создали инновационную вредоносную киберплатформу и использовали несколько уязвимостей нулевого дня. Мы практически уверены, что за этой атакой скрывается государственная спецслужба. Мы назвали эту атаку Duqu 2.0». «Первая хорошая новость состоит в том, что в данном случае мы смогли обнаружить очень продвинутую и крайне скрытную зловредную программу. Разработка и эксплуатация этой платформы требует продолжительной работы высококлассных программистов, и ее общая стоимость должна быть просто колоссальной.
Концептуально эта платформа опережает все, что мы видели раньше, на целое поколение. Этот зловред использует ряд уловок, благодаря которым его предельно сложно обнаружить, а затем нейтрализовать. Есть ощущение, что операторы Duqu 2.0 были убеждены, что обнаружить эту шпионскую программу невозможно в принципе. Однако мы это смогли сделать с помощью прототипа нашего Anti-APT-решения, которое мы разрабатываем специально для выявления сложных таргетированных атак», – отмечает руководитель «ЛК». – «Самое главное для нас — что ни наши продукты, ни наши сервисы не были скомпрометированы. Поэтому эта шпионская атака не несет никаких рисков для наших клиентов».
По мнению Касперского, «злоумышленники были заинтересованы в наших технологиях, особенно это касается нашей безопасной операционной системы, системы защиты финансовых транзакций Kaspersky Fraud Prevention, облачной системы безопасности Kaspersky Security Network, того самого решения для таргетированных атак Anti-APT, а также наших сервисов. Негодяи также хотели получить доступ к нашим текущим расследованиям и представление о наших методах выявления вредоносных программ и о наших аналитических инструментах. Поскольку мы известны в отрасли, в частности, за наши успехи в расследовании сложных кибератак, они искали информацию, которая помогла бы им избегать обнаружения в долгосрочной перспективе. Вышло по-другому».
Евгений Касперский отмечает, что «злоумышленники фактически потеряли очень дорогую и технологически продвинутую платформу, которую они разрабатывали в течение нескольких лет». Они использовали эту платформу, «чтобы шпионить за высокопоставленными целями, включая участников международных переговоров по иранской ядерной программе и участников памятных мероприятий по поводу 70-й годовщины освобождения Освенцима. Наше внутреннее расследование еще не закончено, но мы уверены, что у этой группировки были и другие цели во многих странах мира. Я также думаю, что после того, как мы обнаружили Duqu 2.0, злоумышленники постарались уничтожить любые следы своего доступа к зараженным сетям, чтобы предотвратить разоблачение».
«ЛК» уже добавила алгоритмы обнаружения Duqu 2.0 в свои продукты. Касперский отмечает, что расследование еще не закончено и будут появляться новые подробности атаки. Однако компания может подтвердить, что вирусные базы данных никак не пострадали и взломщики не получили доступа к какой-либо информации, связанной с клиентами «ЛК». Евгений Касперский обращает внимание на важность публикации информации об атаке на антивирусную компанию. «Делая информацию об этой атаке публичной мы: а) хотим инициировать публичную дискуссию на тему оправданности ситуации, в которой государство организует хакерскую атаку на частную компанию, занимающуюся ИТ-безопасностью; б) мы делимся нашим новым знанием с сообществом профессионалов в нашей отрасли, а также с коммерческими компаниями, правоохранительными органами и международными организациями по всему миру с целью минимизировать вред от этой вредоносной платформы. Если это означает ущерб нашей репутации, то мне все равно. Мы спасаем мир, приходится идти ради этого на жертвы», – пишет он, отмечая, что не знает, кто стоит за атакой.
Однако Касперский подчеркивает, что «ситуация, в которой возможна атака предположительно правительственной спецслужбы на частную компанию, специализирующуюся на ИТ-безопасности, крайне неприятная. Для всего человечества целью должен быть безопасный и удобный кибермир. Мы делимся данными о киберугрозах с правоохранительными органами огромного количества стран, мы помогаем бороться с киберпреступностью по всему миру, мы оказываем помощь в расследованиях киберинцидентов. В конце концов, мы учим полицейских, как вести такие расследования. А в данном случае мы видим, как (скорее всего) государство финансирует спецслужбы, которые вместо того, чтобы делать мир лучше, плюют на закон, профессиональную этику и обычный здравый смысл». «Для меня это еще один сигнал, что нам нужны общие разделяемые всеми правила, которые будут соблюдаться всеми странами и которые бы ограничили масштаб цифрового шпионажа и могли бы предотвратить кибервойны», – пишет Евгений Касперский.
.jpg)