Kaspersky Lab descubre Duqu 2.0 – una plataforma de malware altamente sofisticada que explota hasta tres vulnerabilidades de día-cero, utilizados para espiar reuniones de alto nivel entre líderes mundiales

 

A principios de la primavera del 2015 Kaspersky Lab detectó una intrusión cibernética que afectaba a varios de sus sistemas internos. Después de este descubrimiento, la empresa lanzó una investigación intensiva, la cual condujo al descubrimiento de una plataforma de malware nueva proveniente de uno de los actores de APTs (ataque persistente avanzado) más hábiles, misteriosos y potentes del mundo: Duqu.

Kaspersky Lab cree que los atacantes estaban convencidos de que el ciberataque era imposible de detectar. El ataque incluía varias características únicas y nunca antes vistas y casi no dejaba rastro alguno. Este explotaba vulnerabilidades de día-cero y después de cambiar los privilegios a administrador de dominio, el malware se propagaba por la red por medio de archivos MSI (Microsoft Software Installer) que son comúnmente utilizados por administradores de sistemas para desplegar software remotamente en computadoras Windows. El ciberataque no dejó ningún archivo de disco o cambió la configuración del sistema, haciendo su detección extremadamente difícil. La filosofía y manera de pensar del grupo detrás de “Duqu 2.0” está una generación más avanzada de cualquier otra actividad vista en el mundo de APTs.

Investigadores de Kaspersky Lab descubrieron que la empresa no era el único blanco de esta potente amenaza. Otras víctimas han sido detectadas en países occidentales, como también en países del Medio Oriente y Asia. Lo que es aún más interesante es que algunas de las infecciones de 2014-2015 están vinculadas a eventos y lugares relacionados con las negociaciones entre P5+1 e Irán acerca del acuerdo nuclear. El actor detrás de la amenaza de Duqu parece haber lanzado ataques dirigidos a lugares donde las reuniones de alto nivel se realizaron. Además de los eventos de P5+1, el grupo de Duqu 2.0 lanzó ataques similares en relación al evento del 70 aniversario de la liberación de Auschwitz-Birkenau. Estas reuniones fueron concurridas por varios dignitarios y políticos extranjeros.

Kasperky Lab realizó una auditoría de seguridad inicial y análisis del ataque. La auditoría consistió de la verificación del código fuente y la revisión de la infraestructura corporativa. La auditoría aún está en proceso y será finalizada en las próximas semanas. Además del robo de información intelectual, no se detectaron indicadores de actividad maliciosa adicionales. El análisis reveló que el objetivo primordial de los atacantes era espiar en las tecnologías de Kaspersky Lab, investigaciones en curso y procesos internos. Ninguna interferencia a los procesos o sistemas fueron detectados.

Kaspersky Lab tiene la certeza que sus clientes y socios no han sido afectados y que no hubo impacto alguno en los productos, servicios y tecnologías de la empresa.

 

Resumen del ciberataque

A principios de 2015, durante una prueba, el prototipo de una solución anti-APT desarrollada por Kaspersky Lab mostraba señales de un ataque dirigido complejo a su red corporativa. Después que el ataque fue detectado se lanzó una investigación interna. Un equipo compuesto por investigadores de la empresa, expertos en ingeniería reversa y analistas de malware trabajó sin cesar para analizar a este ataque excepcional. La compañía está revelando todos los detalles técnicos acerca de Duqu 2.0 en Securelist.

Conclusiones preliminares:

  1. El ataque fue planeado y realizado cuidadosamente por el mismo grupo que estaba detrás del famoso ataque de APT Duqu del 2011. Kaspersky Lab cree que esta es una campaña patrocinada por un Estado-nación.
  1. Kaspersky Lab está seguro que el objetivo principal del ataque era obtener información acerca de las tecnologías nuevas de la empresa. Los atacantes estaban especialmente interesados en los detalles de innovación de productos incluyendo el Sistema Operativo de Kaspersky Lab, Kaspersky Fraud Prevention, KSN y soluciones y servicios Anti-APT. Departamentos no pertenecientes a Investigaciones y Desarrollo (ventas, mercadeo, comunicaciones, legal) estaban fuera del interés de los atacantes.
  1. La información obtenida por los atacantes en ninguna manera es crítica para la operación de los productos de la empresa. Armado con información sobre este ataque, Kaspersky Lab continuará mejorando el desempeño del portafolio de sus soluciones de seguridad TI.
  1. Los atacantes también mostraron un alto interés en las investigaciones actuales de Kaspersky Lab sobre ataques persistentes avanzados; los atacantes probablemente sabían de la reputación de la empresa como una de las más avanzadas en la detección y contra-arresto de ataques APTs complejos.
  1. Los atacantes parecen haber explotado hasta tres vulnerabilidades de día-cero. El último de estos día-cero (MS15-061) fue parchado por Microsoft el 9 de junio de 2015, después de que expertos de Kaspersky Lab lo reportaran.

El programa malicioso utilizaba un método avanzado para ocultar su presencia en el sistema: el código de Duqu 2.0 solo existe en la memoria de la computadora y trata de borrar todos sus rastros en el disco duro.

 

El panorama completo

“Las personas detrás de Duqu están entre los grupos de APTs más hábiles y poderosos e hicieron todo lo posible para tratar de mantenerse bajo el radar”, comentó Costin Raiu, Director del Equipo Global de Investigación y Análisis en Kaspersky Lab. “Este ataque altamente sofisticado utilizó hasta tres exploits de día-cero, lo que es impresionante- los costos deben de haber sido muy altos. Para mantenerse ocultos, el malware reside en la memoria kernel para que a las soluciones anti-malware se le dificulte su detección. Tampoco se conecta directamente a un servidor de comando y control para recibir instrucciones. En vez, los atacantes infectan los gateways y firewalls de la red por medio de la instalación de drivers maliciosos que redirigen todo el tráfico de la red interna a los servidores de comando y control de los atacantes”.

“Espiar a compañías de seguridad es una tendencia muy peligrosa. El software de seguridad es la última frontera en la protección de negocios y clientes en el mundo moderno, donde el hardware y equipos de red pueden ser comprometidos. Además, tarde o temprano, las tecnologías implementadas en ataques dirigidos similares pueden ser examinados y utilizados por terroristas y cibercriminales profesionales. Este es un escenario viable y extremadamente serio”, comentó Eugene Kaspersky, CEO de Kaspersky Lab.

“Reportando este tipo de incidentes es la única manera de hacer al mundo más seguro. Esto ayuda a mejorar el diseño de la seguridad de la infraestructura empresarial y envía una señal directa a los desarrolladores de este malware: todas las operaciones ilegales serán detenidas y enjuiciadas. La única manera de proteger al mundo es teniendo a agencias para hacer cumplir la ley y a compañías de seguridad luchando contra estos ataques abiertamente. Nosotros siempre reportaremos los ataques sin importar su origen”, agregó Eugene Kaspersky.

Kaspersky Lab quisiera asegurarles a sus clientes y socios que la compañía continuará su misión de ofrecer protección contra cualquier tipo de ciberataques indiscriminadamente. Kaspersky Lab está comprometida a hacer lo correcto por sus clientes y mantener su confianza total; la empresa está segura de que los pasos adoptados abordarán a este incidente y ayudaran a prevenir a que otro incidente similar vuelva a ocurrir. Kaspersky Lab está en contacto con la policía cibernética de varios países haciendo peticiones formales para que se realicen investigaciones criminales sobre este ataque.

Kaspersky Lab quisiera reiterar que estos solo son los resultados preliminares de la investigación. No queda duda de que este ataque tuvo un alcance geográfico más amplio y muchos blancos más. Sin embargo, basado en lo que la compañía ya sabe, Duqu 2.0 ha sido utilizado para atacar a un rango de blancos complejo de los niveles más altos y con intereses geo-políticos similarmente variados. Para mitigar a esta amenaza, Kaspersky Lab está revelando los Indicadores de Compromiso y está ofreciendo su asistencia a todas aquellas organizaciones interesadas.

Procedimientos de protección contra Duqu 2.0 han sido agregados a los productos de la empresa. Los productos de Kaspersky Lab detectan a esta amenaza como HEUR.Trojan.Win32.Duqu2.gen.