A principios de la primavera del 2015 Kaspersky Lab detectó una intrusión cibernética que afectaba a varios de sus sistemas internos. Después de este descubrimiento, la empresa lanzó una investigación intensiva, la cual condujo al descubrimiento de una plataforma de malware nueva proveniente de uno de los actores de APTs (ataque persistente avanzado) más hábiles, misteriosos y potentes del mundo: Duqu.
Kaspersky Lab cree que los atacantes estaban convencidos de que el ciberataque era imposible de detectar. El ataque incluía varias características únicas y nunca antes vistas y casi no dejaba rastro alguno. Este explotaba vulnerabilidades de día-cero y después de cambiar los privilegios a administrador de dominio, el malware se propagaba por la red por medio de archivos MSI (Microsoft Software Installer) que son comúnmente utilizados por administradores de sistemas para desplegar software remotamente en computadoras Windows. El ciberataque no dejó ningún archivo de disco o cambió la configuración del sistema, haciendo su detección extremadamente difícil. La filosofía y manera de pensar del grupo detrás de “Duqu 2.0” está una generación más avanzada de cualquier otra actividad vista en el mundo de APTs.
Investigadores de Kaspersky Lab descubrieron que la empresa no era el único blanco de esta potente amenaza. Otras víctimas han sido detectadas en países occidentales, como también en países del Medio Oriente y Asia. Lo que es aún más interesante es que algunas de las infecciones de 2014-2015 están vinculadas a eventos y lugares relacionados con las negociaciones entre P5+1 e Irán acerca del acuerdo nuclear. El actor detrás de la amenaza de Duqu parece haber lanzado ataques dirigidos a lugares donde las reuniones de alto nivel se realizaron. Además de los eventos de P5+1, el grupo de Duqu 2.0 lanzó ataques similares en relación al evento del 70 aniversario de la liberación de Auschwitz-Birkenau. Estas reuniones fueron concurridas por varios dignitarios y políticos extranjeros.
Kaspersky Lab realizó una auditoría de seguridad inicial y análisis del ataque. La auditoría consistió de la verificación del código fuente y la revisión de la infraestructura corporativa. La auditoría aún está en proceso y será finalizada en las próximas semanas. Además del robo de información intelectual, no se detectaron indicadores de actividad maliciosa adicionales. El análisis reveló que el objetivo primordial de los atacantes era espiar en las tecnologías de Kaspersky Lab, investigaciones en curso y procesos internos. Ninguna interferencia a los procesos o sistemas fueron detectados.
Kaspersky Lab tiene la certeza que sus clientes y socios no han sido afectados y que no hubo impacto alguno en los productos, servicios y tecnologías de la empresa.
Resumen del ciberataque
A principios de 2015, durante una prueba, el prototipo de una solución anti-APT desarrollada por Kaspersky Lab mostraba señales de un ataque dirigido complejo a su red corporativa. Después que el ataque fue detectado se lanzó una investigación interna. Un equipo compuesto por investigadores de la empresa, expertos en ingeniería reversa y analistas de malware trabajó sin cesar para analizar a este ataque excepcional. La compañía está revelando todos los detalles técnicos acerca de Duqu 2.0 en Securelist.
Conclusiones preliminares
El ataque fue planeado y realizado cuidadosamente por el mismo grupo que estaba detrás del famoso ataque de APT Duqu del 2011. Kaspersky Lab cree que esta es una campaña patrocinada por un Estado-nación.
Kaspersky Lab está seguro que el objetivo principal del ataque era obtener información acerca de las tecnologías nuevas de la empresa. Los atacantes estaban especialmente interesados en los detalles de innovación de productos incluyendo el Sistema Operativo de Kaspersky Lab, Kaspersky Fraud Prevention, KSN y soluciones y servicios Anti-APT. Departamentos no pertenecientes a Investigaciones y Desarrollo (ventas, mercadeo, comunicaciones, legal) estaban fuera del interés de los atacantes.
La información obtenida por los atacantes en ninguna manera es crítica para la operación de los productos de la empresa. Armado con información sobre este ataque, Kaspersky Lab continuará mejorando el desempeño del portafolio de sus soluciones de seguridad TI.
Los atacantes también mostraron un alto interés en las investigaciones actuales de Kaspersky Lab sobre ataques persistentes avanzados; los atacantes probablemente sabían de la reputación de la empresa como una de las más avanzadas en la detección y contra-arresto de ataques APTs complejos.
Los atacantes parecen haber explotado hasta tres vulnerabilidades de día-cero. El último de estos día-cero (MS15-061) fue parchado por Microsoft el 9 de junio de 2015, después de que expertos de Kaspersky Lab lo reportaran.
El programa malicioso utilizaba un método avanzado para ocultar su presencia en el sistema: el código de Duqu 2.0 solo existe en la memoria de la computadora y trata de borrar todos sus rastros en el disco duro.