Duqu revine: Kaspersky Lab dezvaluie un atac cibernetic complex care a vizat inclusiv reteaua companiei
1/16889
calendar_month 11 Iun 2015, 14:30
In primavara anului 2015, expertii Kaspersky Lab au descoperit un atac cibernetic care afecta cateva sisteme interne ale companiei. Expertii Kaspersky Lab au demarat o investigatie intensa si au descoperit o noua platforma malware dezvoltata de unul dintre cei mai experimentati si puternici actori cibernetici din peisajul APT (Advanced Persistent Threat): un atacator necunoscut identificat drept Duqu.
Expertii Kaspersky Lab considera ca atacatorii erau siguri ca atacul cibernetic lansat nu ar fi putut fi descoperit. Grupul Duqu 2.0 a utilizat si cateva instrumente unice si noi care aproape ca nu au lasat nicio urma. Atacatorii au exploatat vulnerabilitati de tip zero-day, au blocat drepturile administratorului domeniului si apoi au distribuit malware in retea prin intermediul fisierelor MSI (Microsoft Software Installer), utilizate de obicei de administratorii de sisteme pentru instalarea de software de la distanta pe computere cu Windows. Atacul cibernetic nu a lasat niciun fisier pe disc in urma si nicio schimbare de setare pe sistem, iar localizarea acestuia a devenit extrem de dificila. Filosofia si strategia grupului Duqu 2.0 este mult mai complexa decat orice alt atac descoperit pana acum in lumea APT-urilor.

Kaspersky Lab nu este singura tinta a acestui actor foarte puternic. Expertii companiei au descoperit si acte victime localizate in tari din Vest, Orientul Mijlociu si Asia. In plus, unele infectii din 2014 si 2015 sunt direct legate de P5+1 si evenimentele de negociere cu privire la un acord nuclear cu Iranul. Actorul din spatele Duqu pare sa fi vizat evenimentele in cadrul carora au avut loc discutii la nivel inalt. In plus, grupul Duqu 2.0 a lansat un atac similar legat de evenimentul de aniversare a 70 de ani de la eliberarea de la Auschwitz-Birkenau. La aceste intalniri au participat multi demnitari si politicieni importanti.
Initial, expertii Kaspersky lab au demarat un audit de securitate si o analiza a atacului. Auditul a inclus o verificare a codului sursa si a infrastructurii companiei. Auditul de securitate este in continuare in desfasurare si urmeaza sa fie finalizat in cateva saptamani. Expertii Kaspersky Lab nu au descoperit alti indicatori ai altor activitati periculoase in plus fata de furtul de proprietate intelectuala. Analiza a aratat atacatorii au incercat sa obtina acces la tehnologiile, cercetarile continue si procesele interne Kaspersky Lab,
Expertii Kaspersky Lab sunt siguri ca partenerii si clientii sunt in siguranta si ca nu exista un impact asupra produselor, tehnologiilor si serviciilor companiei.