Duqu powrócił: to najbardziej zaawansowany cyberatak na świecie

Duqu powrócił: to najbardziej zaawansowany cyberatak na świecie10.06.2015 14:00
Źródło zdjęć: © © Pavel Ignatov - Fotolia.com

Na początku wiosny 2015 r. eksperci z Kaspersky Lab wykryli cyberatak na kilka wewnętrznych systemów firmy. Po dokonaniu tego odkrycia firma uruchomiła intensywne dochodzenie, które doprowadziło do zidentyfikowania nowej platformy szkodliwego oprogramowania, stworzonej przez grupę Duqu skupiającą jednych z najbardziej utalentowanych, tajemniczych i potężnych cyberprzestępców działających w świecie ataków APT (zaawansowanych, długotrwałych ataków).

Eksperci z Kaspersky Lab są przekonani, że wcześniejsze wykrycie tego ataku było niemożliwe. Atak wykorzystywał unikatowe i nieobserwowane wcześniej funkcje, a do tego nie pozostawił niemal żadnych śladów. W swoich działaniach cyberprzestępcy wykorzystali luki zero-day i po uzyskaniu przywilejów administratora domeny rozprzestrzenili szkodliwy kod w sieci, korzystając z plików MSI (Microsoft Software Installer), które są często stosowane przez administratorów do wdrażania oprogramowania na zdalnych maszynach z systemem Windows. Cyberatak nie pozostawił żadnych plików na dyskach ani zmian w ustawieniach systemów, w związku z czym jego wykrycie było niezmiernie trudne. Filozofia i sposób myślenia, którym posługuje się grupa „Duqu 2.0”, wykracza daleko poza wszystko, co eksperci widzieli dotychczas w świecie ataków APT.

Badacze wykryli, że Kaspersky Lab nie był jedynym celem tego potężnego ataku. Zidentyfikowano także ofiary w krajach zachodnich, a także na Bliskim Wschodzie oraz w Azji. Ponadto niektóre świeże infekcje (wykonane na przełomie 2014-201. r.) są powiązane z negocjacjami grupy P5+1 w sprawie programu nuklearnego. Cyberprzestępcy działający w ramach Duqu 2.0 najprawdopodobniej przypuścili także ataki na inne wydarzenia, podczas których toczyły się rozmowy na najwyższym szczeblu. Podobny atak został przeprowadzony podczas spotkań towarzyszących obchodom 70. rocznicy wyzwolenia Auschwitz-Birkenau, w których brali udział dygnitarze i politycy z wielu stron świata.

Eksperci przeprowadzili wstępny audyt bezpieczeństwa oraz analizę ataku. Audyt objął weryfikację kodu źródłowego i kontrolę infrastruktury korporacyjnej. Analiza ciągle trwa i zostanie zakończona w ciągu kilku tygodni. Poza kradzieżą własności intelektualnej nie wykryto żadnej szkodliwej aktywności. Analiza ujawniła, że głównym celem atakujących było szpiegowanie technologii, trwających badań i wewnętrznych procesów Kaspersky Lab.

Specjaliści z są przekonani, że klienci i partnerzy firmy są bezpieczni oraz że atak nie miał żadnego wpływu na produkty, technologie oraz usługi Kaspersky Lab.

Informacje o cyberatakach

Wcześniej w 201. r. test prototypowego rozwiązania Kaspersky Lab do walki z atakami APT wykazał oznaki skomplikowanego ataku na sieć korporacyjną firmy. Po wykryciu ataku rozpoczęto wewnętrzne dochodzenie. Zespół ekspertów z Kaspersky Lab, składający się ze specjalistów ds. inżynierii wstecznej oraz analityków szkodliwego oprogramowania, pracował 24 godziny na dobę, by dokonać analizy tego unikatowego ataku.

Wstępne wnioski z badania:

  1. Atak został zaplanowany i przeprowadzony z dbałością o najdrobniejsze szczegóły i stoi za nim ta sama grupa, która była odpowiedzialna za niesławną platformę Duqu wykrytą w 201. r. Eksperci z Kaspersky Lab sądzą, że jest to cyberkampania sponsorowana przez jeden z rządów.
  1. Kaspersky Lab uważa, że głównym celem atakujących było uzyskanie informacji o najnowszych technologiach firmy. Cyberprzestępcy byli szczególnie zainteresowani szczegółami dotyczącymi innowacji w produktach, łącznie z bezpiecznym systemem operacyjnym Kaspersky Lab, Kaspersky Fraud Prevention, Kaspersky Security Network, a także rozwiązaniami i usługami przeznaczonymi do walki z atakami APT. Sekcje firmy niezwiązane z działem badawczo-rozwojowym (takie jak dział sprzedaży, marketingu, komunikacji oraz prawny) znalazły się poza kręgiem zainteresowań atakujących.
  1. Informacje, do których atakujący uzyskali dostęp, nie są w żadnym aspekcie krytyczne dla funkcjonowania produktów firmy. Dzięki poznaniu mechanizmów działania tych cyberprzestępców Kaspersky Lab będzie mógł w dalszym ciągu udoskonalać skuteczność swoich technologii bezpieczeństwa IT.
  1. Atakujący byli zainteresowani bieżącymi dochodzeniami Kaspersky Lab dotyczącymi zaawansowanych ataków ukierunkowanych. Z dużym prawdopodobieństwem cyberprzestępcy byli świadomi tego, że firma posiada reputację jednej z najbardziej efektywnych w wykrywaniu i walce ze skomplikowanym atakami APT.
  1. Atakujący najprawdopodobniej wykorzystali trzy luki zero-day. Ostatnia z nich została załatana przez Microsoft 9 czerwca 201. r. (MS15-061), tuż po zgłoszeniu jej przez ekspertów z Kaspersky Lab.
  1. Szkodliwy program korzystał z zaawansowanej metody ukrywania swojej obecności w systemie: kod Duqu 2.0 rezyduje wyłącznie w pamięci komputera i próbuje usuwać wszelkie ślady swojej aktywności.

Szersza perspektywa

„Ludzie stojący za platformą Duqu to jedni z najbardziej utalentowanych i potężnych cyberprzestępców, którzy robią, co tylko się da, by pozostać w ukryciu”, powiedział Costin Raiu, dyrektor Globalnego Zespołu ds. Badań i Analiz (GReAT), Kaspersky Lab. „Ten wysoce zaawansowany atak wykorzystywał trzy luki zero-day, co nie jest często spotykane i musiało wymagać dużych nakładów finansowych. W celu uniknięcia wykrycia szkodliwy kod rezyduje wyłącznie w pamięci jądra, zatem programy antywirusowe mogą mieć problemy z wykryciem zagrożenia. Dodatkowo, szkodliwy program nie łączy się bezpośrednio z żadnym serwerem kontroli, z którego mógłby otrzymywać polecenia. Zamiast tego, atakujący infekują bramy i zapory sieciowe, instalując szkodliwe sterowniki, które przekierowują cały ruch z wewnętrznej sieci do kontrolowanych przez nich serwerów”.

„Szpiegowanie firm z branży cyberbezpieczeństwa to bardzo niebezpieczny trend. We współczesnym świecie, gdzie nawet sprzęt sieciowy może zostać zainfekowany, oprogramowanie bezpieczeństwa to ostatnia bariera ochrony firm i użytkowników domowych. Ponadto, prędzej czy później, technologie zastosowane w atakach ukierunkowanych tego typu mogą zostać przeanalizowane i użyte przez terrorystów i innych profesjonalnych cyberprzestępców. Mamy tu do czynienia z ekstremalnie poważnym i całkiem prawdopodobnym scenariuszem”, skomentował Jewgienij Kasperski, dyrektor generalny Kaspersky Lab.

Kaspersky Lab zapewnia swoich klientów i partnerów, że firma będzie ich chronić przed wszelkimi cyberatakami niezależnie od ich pochodzenia. Firma opiera swoje działanie na zaufaniu klientów i jest przekonana, że kroki podjęte w związku z cyberatakiem zapobiegną podobnym działaniom cyberprzestępców w przyszłości. Eksperci z Kaspersky Lab skontaktowali się z departamentami policji odpowiedzialnymi za cyberprzestępczość w wielu krajach w celu zapoczątkowania dochodzenia na szeroką skalę.

Kaspersky Lab podkreśla, że na chwilę obecną dostępne są jedynie wstępne wyniki dochodzenia. Nie ma wątpliwości, że omawiany atak ma szerszy zasięg geograficzny i jego ofiarą padło więcej organizacji. Wyciągając wnioski z posiadanych informacji, eksperci z Kaspersky Lab mogą potwierdzić, że Duqu 2.0 został wykorzystany w atakach na cele najwyższego szczebla.

Metody zapewniające ochronę przed Duqu 2.0 zostały dodane do produktów Kaspersky Lab. Zagrożenie to jest wykrywane jako HEUR:Trojan.Win32.Duqu2.gen.

To jest ciekawe - Czy Polska jest przygotowana na cyberatak?

Źródło artykułu:WP Tech
© WP Tech·Redakcja·Regulamin·Polityka prywatności·Reklama
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź naUKRAINA