13:58
9/6/2015

Jak informuje Kaspersky, “na początku wiosny 2015” pracownicy firmy zauważyli, że ktoś włamał się na jej wewnętrzne serwery. Analiza wskazała, że do ataku użyto nową wersję złośliwego oprogramowania o nazwie Duqu, którego autorstwo przypisuje się służbom USA (przy współpracy z Izraelem), i które było używane m.in. do paraliży programu nuklearnego w Iranie.

Atak całkowicie w pamięci RAM

Podczas włamania do infrastruktury wewnętrznej firmy Kaspersky atakujący użyli 3 0day’ów, czyli exploitów na nieznane jeszcze podatności (m.in. CVE-2014-6324 i MS15-061) — a następnie podnieśli swoje uprawnienia do poziomu administratora domeny. Dalej malware rozprzestrzeniał się po sieci Kaspersky’ego poprzez pliki MSI. Co ciekawe, atakujący nie tworzyli ani nie modyfikowali żadnych plików na dysku czy ustawień systemowych, co mocno utrudniało wykrycie. Brak persistence — jak pisze Kaspersky: “cyber espionage just in memory”.

duqu2

Jedną z pierwszy ofiar był pracownik firmy, który — jak się podejrzewa — otworzył złośliwy załącznik przysłany e-mailem. Kaspersky pewności nie ma, ale na taki wektor ataku wskazuje wyczyszczona historia klienta pocztowego i przeglądarki na komputerze pracownika. Ponieważ maszyna była w pełni spatchowana, podejrzewa się, że do osadzenia się w systemie atakujący wykorzystali 0day’a.

Kasperski stawia hipotezę, że atakującym chodziło o zdobycie wiedzy na temat technologii i wewnętrznych procesów wykorzystywanych w labie antywirusowym. Być może chcieli zbackdoorować antywirusa lub wiedzieć zawczasu, jak modyfikować swój malware działający “produkcyjnie” aby uniknąć wykrycia?

Kasperski twierdzi, że dane jego klientów są bezpieczne i atakujący ich nie pozyskali, bo to nie klienci byli głównym celem ataku.

Kasperski udostępnia listę IOC-ów, które pomogą sprawdzić, czy Wasza sieć też została dotknięta podobnym atakiem. Podejrzewamy jednak, że Kasperky nie jest przypadkową ofiarą i atak był ściśle ukierunkowany tylko na organizacje, które prowadzą działania krytyczne z punktu widzenia ataków na poziomie “rządowym”.

Badacze Kasperky’ego ujawniają, że to samo złośliwe oprogramowanie zostało odnalezione także w firmach na Zachodzie, Bliskim Wschodzie i Azji (co tak naprawdę wcale nie pomaga lepiej zrozumieć sytuacji). Ofiary miały być powiązane z kwestiami negocjacji umów dot. energii nuklearnej w Iranie. Ale jest też polski smaczek…

Polski smaczek

Kaspersky twierdzi, że osoby stojące za atakiem na jego infrastrukturę atakowały nie tylko w związku z programem nuklearnym Iranu, ale również z 70 obchodami wyzwolenia obozu Auschwitz-Birkenau.
Brak jednak precyzji w oświadczeniu firmy i nie wiemy, czy celem byli uczestnicy wydarzenia, czy sam fakt organizacji tego międzynarodowego spotkania był elementem ataku (np. wykorzystano go w atakach spear-phishingowych).

Ciekawa jest też rada Kasperkiego, że infekcji można się pozbyć jedynie rebootując wszystkie komputery w sieci w tym samym czasie. Inaczej — jak piszą analitycy — na jednym z nich malware może “pozostać” i z powrotem rozpocząć infekcję całości sieci, używając kolejnych 0day’ów…

Przeczytaj także:

31 komentarzy

Dodaj komentarz
  1. “infekcji można się pozbyć jedynie rebootując wszystkie komputery w sieci w tym samym czasie”
    A czy przeszłoby wyłączenie wszystkich komputerów (niekoniecznie w tym samym czasie) a następnie ponowne ich włączenie (również niekoniecznie symultanicznie)?

    • Michał, proszę Ciebie przeczytać jeszcze raz ostatni akapit. Jeśli dalej nie będziesz wiedział to czytaj go do skutku.

    • szkodnik jest tylko w pamięci operacyjnej, a na dodatek rozprzestrzenia się przez sieć. więc za bezpieczne uznajemy komputery które nie były od włączenia podłączone do jakiegoś zainfekowanego.

    • Michał naśmiewał się, że redaktor zasugerował że JEDYNĄ opcją jest zresetwanie WSZYSTKICH komputerów NA RAZ :) To był oczywiście skrót myślowy ale faktycznie wyszło śmieszno

    • Ha ha ha ha zapomnieli że Switche też mają zasilanie? ;)

  2. A może pomógłby wypad z Windowsa na Linuxa ?
    Przecież na Linuxie nie da się zainstalować kasperskiego to i sieć nie jest zagrożona :P

  3. Nie lepiej odlaczyc od sieci rebootnac wszystkie i podlaczyc spowrotem do sieci?

  4. Żeby nawet firma zabezpieczająca nasze komputery i to nie byle jaka ale jedna z najlepszych padła ofiarą tak prostego ataku, aż żal ściska.

    • Prostego? Rozumiem, że takie ataki wykrywasz od ręki, patrząc codziennie w memory dump RAMu? Gdyby atak był prosty, to byle script kiddie robiłby go każdego dnia, a wszelakie programy zabezpieczające by już się dawno uodporniły.

    • A możesz powiedzieć jak można się ustrzec przed atakiem rządowym, szczególnie amerykańskim, jak malware jest np. wtedy podpisany koszernymi certyfikatami i raportuje się jako np. aktualizacja systemu czy sterownika, co nie wzbudza alarmu systemów ochronnych lub wykorzystuje backdoory, które zgodnie z amerykańskim prawem producenci sprzętu telekomunikacyjnego i informatycznego muszą umieszczać jeśli chcą uzyskać amerykańskie atesty? Myślisz, że Rosjanie to tak z głupoty produkują i kupują do systemów krytycznych swoje mikroprocesory (Elbrus) po 4000$ sztuka, choć dużo taniej można kupić szybsze Intele?

  5. Ciekawi mnie tylko czy to ustrojstwo może przetrwać też w innych urządzeniach niż Pc-ty. Konkretnie podłączone do sieci tablety, smartphony czy wręcz wewnątrz samego oprzyrządowania sieci w jakiś sposób. Z opisu wynika, że nie a nie wierze by nie wzięli tego pod uwagę. Ale może komunikat jest po prostu niekompletny?

    • Mallwara można wrzucić m.in. w:
      – do BIOSu
      – w firmware dysków twardych itp.

  6. “atakujący nie tworzyli ani nie modyfikowali żadnych plików na dysku”
    “wyczyszczona historia klienta pocztowego i przeglądarki na komputerze pracownika”
    Przecież historia klienta i przeglądarki jest składowana na dysku.

    • usunięty to nie modyfikowany ani nie dodany

    • Może też było inaczej i po prostu w ogóle nie dopuścili do zapisania się jej na dysku.

    • W mailu/na dysku mógł być tylko loader od samego malwaru…

  7. Dużo prościej było by wyłączyć prąd na kilka minut w całym budynku lub wszystkich budynkach firmy.

    • A ups’y?

    • lol każda sieć w średniej/dużej firmie jest upsowana

    • A czy “wyłączyć UPSa” to nie to samo co “wyłączyć prąd”?

    • nie, bo prąd wyłączasz jednym przyciskiem, a tysiąc UPSów tysiącem przycisków ;]

  8. a usunięcie to nie modyfikacja??

    • nie do końca. np. jak posortujesz listę plików po ostatniej modyfikacji, to ostatnio modyfikowane Ci się wyświetlą na górze, a usunięte z tajemniczych przyczyn się nie pokażą ;]

  9. a slyszales kiedys o laptopach? ;)

  10. Ciekawie by było gdyby ten robak rozprzestrzeniał się też po komputerach Linuksowych… Ile sprzętu sieciowego stoi na Linuksie? Pozbycie się takiego robaczka całkowicie byłoby wtedy niezłym wyzwaniem, bo trzeba by było dosłownie wyłączyć na 1 chwilę całą elektronikę w firmie…

  11. Jakoś mi się to kupy nie trzyma. Co najmniej 10 lat temu pracowałem dla jednego z większych banków i mieli tak ścisły filtr mailowy, że aby wysłać maila z załącznikiem trzeba to było uzgodnić z adminami w banku aby tego konkretnego maila puścili. Ciężko uwierzyć że po 10 latach i w firmie zawodowo zajmującej się bezpieczeństwem może być aż tak źle. Prawnik otworzył załącznik? LOL a kto im kazał komputer prawnika trzymać w tej samej sieci co resztę?

  12. @mtqsen – “jedna z najlepszych”.
    Dzięki za opluty ze śmiechu monitor…
    Ta “jedna z najlepszych firm” (a dokładniej jej najnowsze “wszystko w jednym” dla Windows) przeoczyła u mojego klienta keyloggera znanego od 2011 r.
    Zaznaczam, że program został zainstalowany z oryginalnego nośnika (licencja na >100 użytkowników, bazy miał aktualne, ustawienia bardziej niż restrykcyjne a użyszkodnik w miarę świadomy).Po tym incydencie zaleciłem zmianę AV na inny. Data infekcji:01.06.2015…Reklamacja w trakcie, PR -200%

  13. To naprawdę straszne jak można nie zabezpieczyć porządnie sieci firmy antywirusowej. Każdy atak można banalnie odeprzeć nawet jeżeli jest napisany w nieznanym dotąd języku. Wystarczy odpowiednio napisany system przeznaczony specjalnie do tej czynności. Plik ten nic nie modyfikował, ale jeżeli podniósł on swoje uprawnienia to modyfikacja musiała zajść. Chyba, że podszył się on pod administratora, ale tym samym świadczy to mimo wszystko o braku zabezpieczeń nie ze strony malware, lecz ataków tego typu. A zabezpieczenia takie są banalne do napisania i każdy po studiach powinien umieć je napisać. Jednym słowem Kaspersky skupia się wyłącznie na ochronie z nośników oraz potwierdzeniu weryfikacji autoryzacji. Sprawia to, że antywirus staje się bezużyteczny jeżeli ktoś używa systemu, który sam w sobie nie jest zabezpieczony przed takimi atakami.

  14. Zmieńcie śródtytuł “polski smaczek” – w kontekście rocznicy wyzwolenia więźniów KL Auschwitz – tytuł wskazuje na dyletanctwo autora. KL Auschwitz to NIEMIECKI obóz zagłady.

    Taka pomyłka nie przystoi człowiekowi wykształconemu

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.