Powrót Duqu - atak na wewnątrzną sieć Kaspersky Lab

[ichito]

O

[Aby zobaczyć linki, zarejestruj się tutaj]

(groźnym malware analizowanym m.in. przez Kaspersky Lab) było głośno tak ze 3 lata temu...temat czasem wracał, bo pojawiały się jego odmiany, ale tym razem wrócił w dość nieoczekiwanej formie. Kaspersky Lab poinformował dziś na swoim blogu o wykryciu ataku na swoją wewnętrzną sieć, a sprawcą jest...no nie inaczej - Duqu właśnie.

[Aby zobaczyć linki, zarejestruj się tutaj]

Mamy wersję polską wpisu i z niej cytat

Na początku wiosny 2015 r. eksperci z Kaspersky Lab wykryli cyberatak na kilka wewnętrznych systemów firmy. Po dokonaniu tego odkrycia firma uruchomiła intensywne dochodzenie, które doprowadziło do zidentyfikowania nowej platformy szkodliwego oprogramowania, stworzonej przez grupę Duqu skupiającą jednych z najbardziej utalentowanych, tajemniczych i potężnych cyberprzestępców działających w świecie ataków APT (zaawansowanych, długotrwałych ataków).

Eksperci z Kaspersky Lab są przekonani, że wcześniejsze wykrycie tego ataku było niemożliwe. Atak wykorzystywał unikatowe i nieobserwowane wcześniej funkcje, a do tego nie pozostawił niemal żadnych śladów. W swoich działaniach cyberprzestępcy wykorzystali luki zero-day i po uzyskaniu przywilejów administratora domeny rozprzestrzenili szkodliwy kod w sieci, korzystając z plików MSI (Microsoft Software Installer), które są często stosowane przez administratorów do wdrażania oprogramowania na zdalnych maszynach z systemem Windows. Cyberatak nie pozostawił żadnych plików na dyskach ani zmian w ustawieniach systemów, w związku z czym jego wykrycie było niezmiernie trudne. Filozofia i sposób myślenia, którym posługuje się grupa "Duqu 2.0", wykracza daleko poza wszystko, co eksperci widzieli dotychczas w świecie ataków APT.
(...)
Wstępne wnioski z badania:

1. Atak został zaplanowany i przeprowadzony z dbałością o najdrobniejsze szczegóły i stoi za nim ta sama grupa, która była odpowiedzialna za niesławną platformę Duqu wykrytą w 2011 r. Eksperci z Kaspersky Lab sądzą, że jest to cyberkampania sponsorowana przez jeden z rządów.
   
2. Kaspersky Lab uważa, że głównym celem atakujących było uzyskanie informacji o najnowszych technologiach firmy. Cyberprzestępcy byli najbardziej zainteresowani szczegółami dotyczącymi innowacji w produktach, łącznie z bezpiecznym systemem operacyjnym Kaspersky Lab, Kaspersky Fraud Prevention, Kaspersky Security Network, a także rozwiązaniami i usługami przeznaczonymi do walki z atakami APT. Sekcje firmy niezwiązane z działem badawczo-rozwojowym (takie jak dział sprzedaży, marketingu, komunikacji oraz prawny) znalazły się poza kręgiem zainteresowań atakujących.
   
3. Informacje, do których atakujący uzyskali dostęp, nie są w żadnym aspekcie krytyczne dla funkcjonowania produktów firmy. Dzięki poznaniu mechanizmów działania tych cyberprzestępców Kaspersky Lab będzie mógł w dalszym ciągu udoskonalać skuteczność swoich technologii bezpieczeństwa IT.
   
4. Atakujący byli zainteresowani bieżącymi dochodzeniami Kaspersky Lab dotyczącymi zaawansowanych ataków ukierunkowanych. Z dużym prawdopodobieństwem cyberprzestępcy byli świadomi tego, że firma posiada reputację jednej z najbardziej efektywnych w wykrywaniu i walce ze skomplikowanym atakami APT.
   
5. Atakujący najprawdopodobniej wykorzystali trzy luki zero-day. Ostatnia z nich została załatana przez Microsoft 9 czerwca 2015 r. ([url=https://technet.microsoft.com/library/security/MS15-061][/url]MS15-061), tuż po zgłoszeniu jej przez ekspertów z Kaspersky Lab.
   
6. Szkodliwy program korzystał z zaawansowanej metody ukrywania swojej obecności w systemie: kod Duqu 2.0 rezyduje wyłącznie w pamięci komputera i próbuje usuwać wszelkie ślady swojej aktywności.
   

Całość po polsku

[Aby zobaczyć linki, zarejestruj się tutaj]

Pelny raport (obrazek to właśnie jego strona tytułowa)

[Aby zobaczyć linki, zarejestruj się tutaj]

[Quassar]

ooo mój ulubiony robaczek