DUQU ESTÁ DE VUELTA: KASPERSKY LAB REVELA CIBERATAQUE QUE AFECTÓ A VÍCTIMAS DE ALTO PERFIL EN PAÍSES OCCIDENTALES, EL MEDIO ORIENTE Y ASIA
- Kaspersky Lab descubre a
Duqu 2.0 – una plataforma de malware altamente sofisticada que explota hasta
tres vulnerabilidades de día-cero
- Infecciones
de malware fueron vinculadas a eventos de P5+1 y centros utilizados para
reuniones de alto nivel entre líderes mundiales
- Aunque también recibió el
Ciberataque, Kaspersky Lab tiene la certeza de que sus
clientes y socios no han sido afectados y que no hubo impacto alguno a los
productos, servicios y tecnologías de la empresa
A principios de la primavera del 2015 Kaspersky Lab
detectó una intrusión cibernética que afectaba a varios de sus sistemas
internos. Después de este descubrimiento, la empresa lanzó una investigación
intensiva, la cual condujo al descubrimiento de una plataforma de malware nueva
proveniente de uno de los actores de APTs (ataque persistente avanzado) más
hábiles, misteriosos y potentes del mundo: Duqu.
Kaspersky Lab cree que los atacantes
estaban convencidos de que el ciberataque era imposible de detectar. El ataque
incluía varias características únicas y nunca antes vistas y casi no dejaba
rastro alguno. Este explotaba vulnerabilidades de día-cero y después de cambiar
los privilegios a administrador de dominio, el malware se propagaba por la red
por medio de archivos MSI (Microsoft Software Installer) que son comúnmente
utilizados por administradores de sistemas para desplegar software remotamente
en computadoras Windows. El ciberataque no dejó ningún archivo de disco o
cambió la configuración del sistema, haciendo su detección extremadamente
difícil. La filosofía y manera de pensar del grupo detrás de “Duqu 2.0” está
una generación más avanzada de cualquier otra actividad vista en el mundo de
APTs.
Investigadores de Kaspersky Lab
descubrieron que la empresa no era el único blanco de esta potente amenaza.
Otras víctimas han sido detectadas en países occidentales, como también en
países del Medio Oriente y Asia. Lo que es aún más interesante es que algunas
de las infecciones de 2014-2015 están vinculadas a eventos y lugares
relacionados con las negociaciones entre P5+1 e
Irán acerca del acuerdo nuclear. El actor detrás de la amenaza de
Duqu parece haber lanzado ataques dirigidos a lugares donde las reuniones de
alto nivel se realizaron. Además de los eventos de P5+1, el grupo de Duqu 2.0
lanzó ataques similares en relación al evento del 70 aniversario de la
liberación de Auschwitz-Birkenau. Estas reuniones fueron concurridas por varios
dignitarios y políticos extranjeros.
Kasperky Lab realizó una auditoría de
seguridad inicial y análisis del ataque. La auditoría consistió de la
verificación del código fuente y la revisión de la infraestructura corporativa.
La auditoría aún está en proceso y será finalizada en las próximas semanas.
Además del robo de información intelectual, no se detectaron indicadores de
actividad maliciosa adicionales. El análisis reveló que el objetivo primordial
de los atacantes era espiar en las tecnologías de Kaspersky Lab,
investigaciones en curso y procesos internos. Ninguna interferencia a los
procesos o sistemas fueron detectados.
Kaspersky Lab tiene la certeza que sus
clientes y socios no han sido afectados y que no hubo impacto alguno en los
productos, servicios y tecnologías de la empresa.
Resumen
del ciberataque
A principios de 2015, durante una prueba,
el prototipo de una solución anti-APT desarrollada por Kaspersky Lab mostraba
señales de un ataque dirigido complejo a su red corporativa. Después que el
ataque fue detectado se lanzó una investigación interna. Un equipo compuesto
por investigadores de la empresa, expertos en ingeniería reversa y analistas de
malware trabajó sin cesar para analizar a este ataque excepcional. La compañía
está revelando todos los detalles técnicos acerca de Duqu 2.0 enSecurelist.
Conclusiones preliminares:
1. El
ataque fue planeado y realizado cuidadosamente por el mismo grupo que estaba
detrás del famoso ataque de APT Duqu del 2011. Kaspersky Lab cree que esta es
una campaña patrocinada por un Estado-nación.
2. Kaspersky
Lab está seguro que el objetivo principal del ataque era obtener información
acerca de las tecnologías nuevas de la empresa. Los atacantes estaban
especialmente interesados en los detalles de innovación de productos incluyendo
el Sistema Operativo de Kaspersky Lab, Kaspersky Fraud Prevention, KSN y
soluciones y servicios Anti-APT. Departamentos no pertenecientes a
Investigaciones y Desarrollo (ventas, mercadeo, comunicaciones, legal) estaban
fuera del interés de los atacantes.
3. La
información obtenida por los atacantes en ninguna manera es crítica para la
operación de los productos de la empresa. Armado con información sobre este
ataque, Kaspersky Lab continuará mejorando el desempeño del portafolio de sus
soluciones de seguridad TI.
4. Los
atacantes también mostraron un alto interés en las investigaciones actuales de
Kaspersky Lab sobre ataques persistentes avanzados; los atacantes probablemente
sabían de la reputación de la empresa como una de las más avanzadas en la
detección y contra-arresto de ataques APTs complejos.
5. Los
atacantes parecen haber explotado hasta tres vulnerabilidades de día-cero. El
último de estos día-cero (MS15-061)
fue parchado por Microsoft el 9 de junio de 2015, después de que expertos de
Kaspersky Lab lo reportaran.
El programa malicioso utilizaba un método avanzado
para ocultar su presencia en el sistema: el código de Duqu 2.0 solo existe en
la memoria de la computadora y trata de borrar todos sus rastros en el disco
duro.
El panorama completo
“Las personas detrás de Duqu están entre
los grupos de APTs más hábiles y poderosos e hicieron todo lo posible para
tratar de mantenerse bajo el radar”, comentó Costin Raiu, Director del Equipo
Global de Investigación y Análisis en Kaspersky Lab. “Este ataque altamente
sofisticado utilizó hasta tres exploits de día-cero, lo que es impresionante-
los costos deben de haber sido muy altos. Para mantenerse ocultos, el malware
reside en la memoria kernel para que a las soluciones anti-malware se le
dificulte su detección. Tampoco se conecta directamente a un servidor de
comando y control para recibir instrucciones. En vez, los atacantes infectan
los gateways y firewalls de la red por medio de la instalación
de drivers maliciosos que redirigen todo el tráfico de la red interna a los
servidores de comando y control de los atacantes”.
“Espiar a compañías de seguridad es una
tendencia muy peligrosa. El software de seguridad es la última frontera en la
protección de negocios y clientes en el mundo moderno, donde el hardware y
equipos de red pueden ser comprometidos. Además, tarde o temprano, las
tecnologías implementadas en ataques dirigidos similares pueden ser examinados
y utilizados por terroristas y cibercriminales profesionales. Este es un
escenario viable y extremadamente serio”, comentó Eugene Kaspersky, CEO de
Kaspersky Lab.
“Reportando este tipo de incidentes es la
única manera de hacer al mundo más seguro. Esto ayuda a mejorar el diseño de la
seguridad de la infraestructura empresarial y envía una señal directa a los
desarrolladores de este malware: todas las operaciones ilegales serán detenidas
y enjuiciadas. La única manera de proteger al mundo es teniendo a agencias para
hacer cumplir la ley y a compañías de seguridad luchando contra estos ataques
abiertamente. Nosotros siempre reportaremos los ataques sin importar su
origen”, agregó Eugene Kaspersky.
Kaspersky Lab quisiera asegurarles a sus
clientes y socios que la compañía continuará su misión de ofrecer protección
contra cualquier tipo de ciberataques indiscriminadamente. Kaspersky Lab está
comprometida a hacer lo correcto por sus clientes y mantener su confianza
total; la empresa está segura de que los pasos adoptados abordarán a este
incidente y ayudaran a prevenir a que otro incidente similar vuelva a ocurrir.
Kaspersky Lab está en contacto con la policía cibernética de varios países
haciendo peticiones formales para que se realicen investigaciones criminales
sobre este ataque.
Kaspersky Lab quisiera reiterar que estos
solo son los resultados preliminares de la investigación. No queda duda de que
este ataque tuvo un alcance geográfico más amplio y muchos blancos más. Sin
embargo, basado en lo que la compañía ya sabe, Duqu 2.0 ha sido utilizado para
atacar a un rango de blancos complejo de los niveles más altos y con intereses
geo-políticos similarmente variados. Para mitigar a esta amenaza, Kaspersky Lab
está revelando los Indicadores de Compromiso y está ofreciendo su asistencia a
todas aquellas organizaciones interesadas.
Procedimientos de protección contra Duqu
2.0 han sido agregados a los productos de la empresa. Los productos de
Kaspersky Lab detectan a esta amenaza como HEUR.Trojan.Win32.Duqu2.gen.
Más detalles acerca de Duqu 2.0 y los
Indicadores de Compromiso están disponibles en el reporte
técnico.
Guías generales acerca de la mitigación de
APTs están disponibles en el artículo “Cómo
mitigar 85% de todos los ataques dirigidos utilizando 4 estrategias simples”.
No hay comentarios:
Publicar un comentario