Kaspersky Lab otkrio ''skoro nevidljivi'' napad na sisteme kompanije

Vesti, 11.06.2015, 08:00 AM

Ruska kompanija Kaspersky Lab je nedavno otkrila i zaustavila sofisticirani, pažljivo isplanirani napad na njene mreže koji je najverovatnije delo APT (advanced persistent threat) grupe koju je podržala vlada neke države i to najverovatnije grupe koja stoji iza čuvenog APT napada Duqu iz 2011. godine. Grupa nije uspela da ugrozi rad proizvoda i servisa kompanije, tako da njeni korisnici i partneri nisu u opasnosti.

Jevgenij Kasperski, osnivač i direktor kompanije, kaže da je ovde reč o industrijskoj špijunaži i da je malver koji je korišćen u napadu inovativan i veoma napredan.

Malver koji su u Kaspersky Labu nazvali Duqu 2 i koji je koristio nekoliko 0-day propusta je bio kompleksan i nevidljiv. On, na primer, boravi u memoriji računara i trudi se da ne napravi bilo kakvu promenu na hard disku. Malver je osmišljen tako da je da se na njemu verovatno radilo dugo i da su potrošeni milioni dolara na njegov razvoj. Takođe je verovatno da su napadači verovali da je malver nemoguće otkriti, kaže Kasperski.

Platforma za sajber špijunažu Duqu nije korišćena od 2012. godine, pa se verovalo da napadači više ne koriste ove softverske alate u napadima. Međutim, infekcije novom verzijom platforme nazvane Duqu 2 otkrivene su 2014. i nastavile su da se pojavljuju i 2015. u zapadnim zemljama, na Bliskom istoku i u Aziji.

0-day bezbednosni propust koji je korišćen u napadu na Kaspersky Lab je CVE-2015-2360, koji je Microsoft ispravio u utorak zajedno sa ostalim propustima za koje su objavljene ispravke.

Istraga koju je sproveo Kaspersky Lab je pokazala da je prvi napad počeo u manjim kancelarijama u azijsko-pacifičkoj regiji a verovatno je izveden uz pomoć spear fišing emailova.

Napadači su koristili još jedan 0-day propust (CVE-2014-6324) koji je ispravljen u novembru prošle godine.

Duqu 2 koristi različite taktike za širenje u mreži, a u većini slučajeva malver se širio u mreži preko MSI fajlova (Micorosft Windows Installer Packages).

Kaspersky Lab je velika svetska kompanija koja ima više od 3000 zaposlenih. Ona je često meta sajber napada, i to kako onih sa kojima se suočavaju i druge velike kompanije, tako i onih iza kojih stoje sajber kriminalci koji žele da se osvete kompaniji. Osim toga, kompanija se stalno suočava sa obaranjem njenih regionalnih sajtova širom sveta.

Međutim, u ovom slučaju napadači su verovatno bili zainteresovani za tekuća istraživanja kompanije i istraživačke metode, a verovatno su želeli da saznaju i “šta se kuva u kuhinji Kaspersky Laba”, kako bi razvili tehnike koje bi im pomogle da ostanu izvan dometa radara kompanije, smatra Kasperski.

On ne veruje da su napadači želeli da ukradu tehnologije kompanije, izvorni kod ili ideje da bi razvili sopstveni softver. Po njemu, to ne bi imalo mnogo smisla na duže staze jer se moderni softver neprestano razvija, tako da kopirani softver veoma brzo zastareva. Osim toga, krađa koda ili projekata možda bi pomogla napadačima u razvoju njihovog softvera ali bi im u tom slučaju bili potrebni i ljudi koji su razvili originalni softver ako bi želeli da razumeju sve detalje. Još manje ima smisla pretpostavka da je neka država želela da ukrade izvorni kod, jer kompanija Kaspersky Lab deli svoj kod sa vladama koje to traže kako bi sprovele zaštitu važnih državnih institucija.

Kaspersky nije siguran ni u to da su napadači možda bili zainteresovani za unutrašnje poslove kompanije. Iako kompanija ima svoje tehnološke tajne ništa od toga nije toliko tajno i strogo poverljivo. “Nema skrivenog Svetog Grala”, kaže Kaspersky, “samo mnogo napornog rada velikih umova.”

"Špijuniranje kompanija koje se bave sajber bezbednošću je veoma opasna tendencija. Bezbednosni softver je poslednja granica zaštite preduzeća i korisnika u modernom svetu, gde hardver i mrežna oprema mogu biti ugroženi. Osim toga, pre ili kasnije, teroristi i profesionalni sajber kriminalci će ispitati i iskoristiti tehnologije koje su primenjene u sličnim ciljanim napadima. A to je veoma opasan i moguć scenario", kaže direktor kompanije Kaspersky Lab.

On kaže da je vlade ne bi trebalo da napadaju kompanije koje se bave sajber bezbednošću. "Trebalo bi da budemo na istoj strani, deleći zajednički cilj o bezbednom i sigurnom sajber svetu. Mi delimo naše znanje da bi se borili protiv sajber kriminala i pomogli da istrage postanu efikasnije. Postoji mnogo toga što radimo zajedno da bi sajber svet bio bolje mesto. Međutim, sada vidimo da neki članovi ove "zajednice" ne poštuju zakone, profesionalnu etiku ili zdrav razum", kaže Kasperski dodajući da su svetu potrebna opšte prihvaćena pravila igre da se suzbije digitalna špijunaža i spreče sajber ratovi. On je pozvao odgovorne vlade da se sastanu i dogovore o tim pravilima, i da se bore protiv sajber kriminala i malvera, a ne da ga sponzorišu i promovišu.

Više tehničkih detalja o ovom napadu možete naći u dokumentu (pdf) koji je objavio Kaspersky Lab.