Весной на корпоративную сеть «Лаборатории Касперского» была произведена атака. Расследование показало, что виной тому новая вредоносная платформа, имеющая непосредственное отношение к одной из самых сложных кампаний кибершпионажа — Duqu, раскрытой в 2011 году. Новая платформа получила название Duqu 2.0.
Киберпреступники использовали уникальные и ранее не встречавшиеся инструменты и практически не оставляли следов в системе. Атака осуществлялась при помощи эксплойтов, использовавших уязвимости нулевого дня в OC Windows, а дополнительное вредоносное ПО доставлялось в атакованные системы под видом Microsoft Software Installers — установочных файлов, используемых системными администраторами для инсталляции ПО на компьютеры в удаленном режиме. Вредоносное ПО не создавало и не модифицировало какие-либо дисковые файлы или системные настройки, что делало детектирование атаки затруднительным.
Помимо себя «Лаборатория Касперского» обнаружила и других жертв в ряде западных, ближневосточных и азиатских стран. Среди наиболее заметных целей новой кампании Duqu в 2014-2015 годах стали площадки для переговоров по иранской ядерной программе «Группы 5+1» и мероприятий, посвященных 70-й годовщине освобождения узников Освенцима. Во всех этих событиях принимали участие высокопоставленные лица и политики.
В настоящее время «Лаборатория Касперского» продолжает расследовать инцидент. Уже была проведена проверка корпоративной инфраструктуры и верификация исходного кода. Как показал первичный анализ, главной задачей атакующих было получение информации о технологиях и исследованиях «Лаборатории Касперского». Помимо попыток кражи интеллектуальной собственности, никакой другой вредоносной активности, в том числе вмешательства в процессы или системы в корпоративной сети компании зафиксировано не было.
«Duqu является одной из самых сильных и хорошо подготовленных кибергруппировок, и они сделали все возможное, чтобы не попасться, — сказал Костин Райю, руководитель Глобального центра исследований и анализа угроз «Лаборатории Касперского». — В этой тщательно спланированной атаке использовалось до трех уязвимостей нулевого дня, а, значит, атакующие не жалели ресурсов, и судя по всему, расходы их были велики. Само вредоносное ПО базируется исключительно в памяти ядра операционной системы, из-за чего антивирусные решения не замечают его. Кроме того, зловред не обращается напрямую к командно-контрольному серверу для получения инструкций. Вместо этого атакующие заражают шлюзы и межсетевые экраны, устанавливая на них вредоносные драйверы, которые перенаправляют трафик из внутренних сетей на серверы атакующих».
«Шпионаж в отношении антивирусных компаний — очень тревожная тенденция. В современных условиях, когда любое оборудование и сеть могут подвергнуться заражению, защитное ПО является последним рубежом информационной безопасности для компаний и пользователей. Кроме того, существует большая вероятность, что рано или поздно технологии, задействованные в подобных таргетированных атаках, начнут использовать террористы и киберпреступники. А это уже очень серьезно, — прокомментировал Евгений Касперский, генеральный директор «Лаборатории Касперского». — Предавать огласке подобные инциденты — единственный способ сделать мир более безопасным. Такой подход не только поможет улучшить защиту инфраструктур предприятий, он станет открытым посланием всем разработчикам вредоносного ПО и демонстрацией того, что все нелегитимные операции будут остановлены и расследованы. Защитить мир можно только при объединении усилий правоохранительных органов и секьюрити-компаний, открыто борющихся с подобными атаками. Мы всегда будем сообщать обо всех киберинцидентах независимо от того, кто стоит за их организацией».