Mostrando entradas con la etiqueta APT (ataques avanzados persistentes). Mostrar todas las entradas
Mostrando entradas con la etiqueta APT (ataques avanzados persistentes). Mostrar todas las entradas

miércoles, 10 de junio de 2015

Duqu ha vuelto: Kaspersky Lab descubre un ciberataque en su red corporativa que también ha atacado a víctimas de alto perfil en Occidente, Oriente Medio y Asia

  • Kaspersky Lab ha descubierto Duqu 2.0 - una plataforma de malware altamente sofisticado capaz de explotar hasta tres vulnerabilidades de día cero (zero-day)
  • Las infecciones de malware están relacionadas con los eventos P5+1 y los lugares de celebración de reuniones de alto nivel entre líderes mundiales
  • Kaspersky Lab asegura la protección total para sus clientes y partners. No ha habido impacto en los productos, tecnologías y servicios de la compañía
Madrid (España), 10 de junio de 2015 / Internet - Seguridad / Gabinete de Prensa.

A principios de la primavera de 2015, Kaspersky Lab detectó una ciberintrusión que afectaba a varios de sus sistemas internos. A raíz de este descubrimiento, la compañía puso en marcha una investigación que llevó al descubrimiento de una nueva plataforma de malware de uno de los actores más hábiles, misteriosos y poderosos del mundo APT (ataques avanzados persistentes): Duqu.
Para Kaspersky Lab, los ciberatacantes estaban muy seguros de que era imposible descubrir el ataque, ya que incluía algunas características únicas e invisibles para que apenas dejase rastro. El ataque explota vulnerabilidades zero-day y tras la elevación a privilegios de administrador de dominio, el malware se propaga en la red a través de la instalación de paquetes MSI (Microsoft Software Installer), que son los archivos que los administradores de sistemas utilizan habitualmente para instalar software en equipos Windows en remoto. El ciberataque no realizaba cambios en el disco de la víctima o en la configuración del sistema, lo que hacía muy difícil la detección. La filosofía y la forma de pensar del grupo "Duqu 2.0" nos muestra una generación más avanzada, que va por delante de todo lo visto en el mundo APT.
Los analistas de Kaspersky Lab descubrieron que la empresa no era el único objetivo de este poderoso actor. Se han encontrado otras víctimas en países occidentales, así como en países de Oriente Medio y Asia. En particular, algunas de las nuevas infecciones entre 2014-2015 están vinculadas a los eventos P5+1 y lugares relacionados con las negociaciones con Irán sobre un acuerdo nuclear. El actor que está detrás de Duqu parece haber lanzado ataques en los lugares donde se produjeron estas negociaciones. Además de los eventos P5+1, el grupo Duqu 2.0 lanzó un ataque similar relacionado con el 70 aniversario de la liberación de Auschwitz-Birkenau. A estas reuniones asistieron muchos dignatarios y políticos extranjeros.
Kaspersky Lab realizó una auditoría de seguridad inicial y un análisis del ataque. La auditoría incluyó la verificación del código fuente y la comprobación de la infraestructura corporativa. La auditoría está todavía en curso y se completará en unas pocas semanas. Además del robo de propiedad intelectual, no se detectaron otros indicadores de actividad maliciosa. El análisis reveló que el principal objetivo de los atacantes era espiar las tecnologías de Kaspersky Lab, la investigación en curso y procesos internos. No se detectó interferencia con procesos o sistemas.
Kaspersky Lab garantiza que sus clientes y partners están seguros y que no hay impacto en los productos, tecnologías y servicios de la compañía.
Análisis del ciberataque
A principios de 2015, durante una prueba, un prototipo de la solución anti-APT desarrollada por Kaspersky Lab mostró signos de la existencia de un ataque dirigido complejo en su red corporativa. Cuando el ataque fue descubierto, se lanzó una investigación interna. El equipo de investigadores, los ingenieros y analistas de malware de la empresa trabajaron día y noche para analizar este ataque excepcional. La compañía ha hecho público todos los detalles técnicos sobre Duqu 2.0 en su blog Securelist.
Conclusiones:
  1. El ataque fue cuidadosamente planeado y llevado a cabo por el mismo grupo que estaba detrás del infame ataque APT Duqu de 2011. Kaspersky Lab cree que esto es una campaña patrocinada por un estado.
  2. Kaspersky Lab cree firmemente que el objetivo principal del ataque era obtener información sobre las tecnologías más recientes de la compañía. Los atacantes estaban especialmente interesados ​​en los detalles de las innovaciones de sus productos, entre los que se incluyen Kaspersky Lab Secure Operating System, Kaspersky Fraud Prevention, Kaspersky Security Network y soluciones Anti-APT. Los departamentos externos a I+D (ventas, marketing, comunicaciones, legal) estaban fuera de los intereses de los ciberdelincuentes.
  3. La información a la que han tenido acceso los atacantes no es clave para el funcionamiento de los productos de la compañía. Con toda la información sobre este ataque, Kaspersky Lab continúa mejorando el rendimiento de sus soluciones de seguridad de TI.
  4. Los atacantes también mostraron un gran interés por las investigaciones actuales de Kaspersky Lab sobre ataques dirigidos avanzados; probablemente conscientes de la reputación de la compañía como una de las más avanzadas en la detección y lucha contra los ataques APT complejos.
  5. Los atacantes parecen haber explotado hasta tres vulnerabilidades zero-day. La última que quedaba (CVE-2015-2360) ha sido parcheada por Microsoft el 9 de junio de 2015 (MS15-061), cuando los expertos de Kaspersky Lab les informaron.
  6. El programa malicioso utiliza un método avanzado para ocultar su presencia en el sistema: el código de Duqu 2.0 sólo existe en la memoria del equipo y trata de eliminar todos los rastros en el disco duro.

Origen y contexto
"Los ciberdelincuentes que están detrás de Duqu son uno de los grupos de APT más hábiles y potentes. Hicieron todo lo posible por mantenerse fuera del radar", afirma Costin Raiu, director del Global Research and Analysis Team de Kaspersky Lab. "Este ataque altamente sofisticado utiliza hasta tres exploits zero-day, algo muy sorprendente ya que los costes deben ser muy elevados. Para mantenerse oculto, el malware reside sólo en la memoria de kernel, por lo que las soluciones anti-malware podían tener problemas para detectarlo. Tampoco se conecta directamente a un servidor de comando y control para recibir instrucciones. En lugar de ello, los atacantes infectaron pasarelas de red y servidores de seguridad mediante la instalación de drivers maliciosos que dirigieron todo el tráfico de la red interna a los servidores de comando y control de los atacantes".
"Espiar a las empresas de seguridad es una tendencia muy peligrosa. El software de seguridad es la última frontera de protección para las empresas y los clientes en el mundo actual, donde el hardware y la red pueden verse comprometidos. Por otra parte, antes o después,  las tecnologías implementadas en los ataques dirigidos serán examinadas y utilizadas por los terroristas y delincuentes profesionales. Y eso es un escenario posible y de extrema gravedad ", explica Eugene Kaspersky, CEO de Kaspersky Lab.
"Reportar este tipo de incidentes es la única forma de hacer que el mundo sea más seguro. Esto ayuda a mejorar el diseño de la seguridad de las infraestructuras de las empresas y envía una señal clara a los desarrolladores de este malware: todas las operaciones ilegales serán detenidas y procesadas. La única manera de proteger el mundo es que los organismos policiales  y de control y las empresas de seguridad luchen contra este tipo de ataques abiertamente. Siempre vamos a informar de los ataques sin importar su origen ", apunta Eugene Kaspersky.
Kaspersky Lab  asegura a sus clientes y partners que la empresa continuará esta línea de actuación para protegerles contra cualquier ataque cibernético. Kaspersky Lab se ha comprometido a hacer lo mejor para sus clientes y mantener su confianza; la compañía ha resuelto este incidente previniendo que un problema similar pueda suceder. Kaspersky Lab se ha puesto en contacto con los correspondientes departamentos de policía en varios países solicitando que se lleven a cabo investigaciones oficiales sobre este ataque.  
Kaspersky Lab reitera que estos resultados son sólo preliminares en una primera fase de investigación. No hay duda de que este ataque ha tenido un alcance geográfico más amplio y muchos más objetivos. Por la información con la que la empresa ya cuenta,  Duqu 2.0 se ha utilizado para atacar a objetivos de alto nivel y perfil con intereses geopolíticos comunes. Para controlar esta amenaza,  Kaspersky Lab  ofrece su ayuda a todas las organizaciones interesadas.
Los procedimientos para la protección de Duqu 2.0 forman parte de los productos de Kaspersky Lab y detectan esta amenaza como HEUR: Trojan.Win32.Duqu2.gen.