Nella primavera 2015 Kaspersky Lab ha rilevato un’intrusione informatica che ha colpito diversi suoi sistemi interni. In seguito a questa scoperta l’azienda ha lanciato un’indagine approfondita che ha portato alla scoperta di una nuova piattaforma malware messa a punto da uno degli attori in ambito APT (advanced persistent threat) più esperti, misteriosi e potenti: Duqu.
Kaspersky Lab ritiene che chi ha attaccato pensava che sarebbe stato impossibile rilevare il cyberattacco. L’attacco presenta delle caratteristiche uniche e mai viste prima e non lascia praticamente tracce. L’attacco ha sfruttato alcune vulnerabilità zero-day e dopo aver elevato i privilegi ad amministratore del dominio, il malware si è diffuso nella rete tramite i file MSI (Microsoft Software Installer) che sono comunemente utilizzati dagli amministratori di sistema per fare il deployment del software da remoto sui computer basati su Windows. Il cyberattacco non lascia nessun file disco o modifiche delle impostazioni di sistema, rendendo il rilevamento molto difficile. La filosofia e il modo di pensare del gruppo “Duqu 2.0” è una generazione avanti rispetto a tutto ciò che è stato visto fino ad ora nel mondo delle APT.
I ricercatori di Kaspersky Lab hanno scoperto che l’azienda non era il solo bersaglio di questa minaccia. Altre vittime sono state rilevate in Paesi occidentali, oltre che in Medio Oriente e Asia. Inoltre, alcune delle nuove infezioni del 2014-2015 sono legate agli eventi del P5+1 e ai luoghi di incontro relativi alle negoziazioni con l’Iran riguardo al nucleare. I responsabili della minaccia Duqu sembra abbiano lanciato gli attacchi nei luoghi dove si sono svolti gli interventi più importanti. Oltre agli eventi P5+1, il gruppo Duqu 2.0 ha lanciato un attacco simile in occasione del [1]70° anniversario della liberazione di Auschwitz-Birkenau. A questi eventi hanno partecipato molti politici e figure istituzionali straniere.
Kaspersky Lab ha realizzato un primo controllo della sicurezza e analisi dell’attacco. Il controllo includeva la verifica del codice sorgente e il check dell’infrastruttura aziendale. L’audit è ancora in corso e sarà completato nel corso delle prossime settimane. Oltre al furto di proprietà intellettuale non sono stati rilevati altri indicatori di attività nociva. L’analisi rileva che lo scopo principale dell’attacco era spiare le tecnologie, le ricerche in corso e i processi interni di Kaspersky Lab. Non sono state rilevate interferenze con processi o sistemi.
Kaspersky Lab è convinto che i propri clienti e partner siano al sicuro e che non ci siano conseguenze per i prodotti, tecnologie e servizi dell’azienda.
Overview del cyberattacco
Nel 2015, durante un test, il prototipo di una soluzione anti-APT sviluppata da Kaspersky Lab ha mostrato chiari segnali di un attacco mirato complesso all’interno della rete aziendale. Subito dopo aver intercettato l’attacco è stata immediatamente avviata un’indagine interna. Un team di ricercatori della società, specializzati in ingegneria inversa e analisi dei malware, hanno lavorato giorno e notte per analizzare questo attacco fuori dal comune. L’azienda sta diffondendo tutti i dati tecnici relativi a Duqu 2.0 tramite Securelist.
Conclusioni preliminari:
1. L’attacco è stato attentamente pianificato e realizzato dallo stesso gruppo che si nascondeva dietro il famigerato attacco APT Duqu del 2011. Kaspersky Lab ritiene che si tratti di una campagna sponsorizzata da uno stato-nazione.
2. Kaspersky Lab crede fermamente che l’obiettivo primario dell’attacco fosse quello di acquisire informazioni sulle più recenti tecnologie della società. Gli aggressori erano particolarmente interessati ai dettagli legati alle innovazioni di prodotto tra cui Kaspersky Lab Secure Operating System, Kaspersky Fraud Prevention, Kaspersky Security Network e alle soluzioni e ai servizi anti-APT. I reparti non R&D (vendite, marketing, comunicazione, legali) non erano tra gli obiettivi dei criminali.
3. Le informazioni a cui i criminali hanno avuto accesso non sono in alcun modo critiche per il funzionamento dei prodotti dell’azienda. Forte delle informazioni acquisite su questo attacco Kaspersky Lab continuerà a migliorare le performance delle soluzioni di sicurezza IT che fanno parte del proprio portfolio prodotti.
4. Inoltre, i criminali informatici hanno mostrato un forte interesse nei confronti delle indagini in corso di Kaspersky Lab sugli attacchi mirati avanzati; con molta probabilità erano a conoscenza dell’ottima reputazione della società in materia di identificazione e lotta agli attacchi APT complessi.
5. I criminali sembrano aver sfruttato fino a tre vulnerabilità zero-day. L’ultimo zero-day rimasto (CVE-2015-2360) è stato aggiornato da Microsoft il 9 giugno 2015 (MS15-061) dopo che gli esperti di Kaspersky Lab lo hanno riportato.
ll programma nocivo ha utilizzato un metodo avanzato per nascondere la propria presenza nel sistema: il codice di Duqu 2.0 esiste solo nella memoria del computer e tenta di eliminare tutte le tracce dal disco rigido.
Il quadro generale
"Le persone che si nascondono dietro Duqu fanno parte di uno dei gruppi APT più qualificati e potenti. Il gruppo ha fatto tutto il possibile per cercare di stare fuori dalla portata dei radar", ha detto Costin Raiu, Director of Global Research & Analysis Team di Kaspersky Lab. "Questo attacco altamente sofisticato ha utilizzato fino a tre exploit zero-day, un dato davvero molto impressionante, che ha comportato costi molto alti. Per rimanere nascosto, il malware è presente solo nella memoria del kernel, così che diventi più difficile per le soluzioni anti-malware rilevarlo. Inoltre, per ricevere istruzioni non si connette direttamente a un server di comando e controllo ma i criminali infettano gateway di rete e firewall mediante l’installazione di driver dannosi che delegano tutto il traffico dalla rete interna ai server di comando e controllo dei criminali."
“Spiare le aziende di sicurezza informatica è una tendenza molto pericolosa. Il software di sicurezza è l’ultima frontiera della protezione di imprese e clienti nel mondo moderno, in cui le apparecchiature hardware e di rete possono essere compromesse. Inoltre, prima o poi le tecnologie implementate in simili attacchi mirati saranno esaminate e utilizzate da terroristi e criminali informatici professionali. Questo scenario oltre ad essere possibile è estremamente pericoloso", ha commentato Eugene Kaspersky, CEO di Kaspersky Lab.
"Raccontare di questi incidenti è l’unico modo per rendere il mondo più sicuro. Questo aiuta le a migliorare la progettazione della sicurezza delle infrastrutture enterprise e invia un segnale semplice agli sviluppatori di questo malware: tutte le operazioni illegali saranno fermate e perseguite. L’unico modo per proteggere il mondo è quello che sia le forze di polizia che le società di sicurezza combattano apertamente questi attacchi. Racconteremo sempre degli attacchi che scopriremo, indipendentemente dalla loro origine", ha aggiunto Eugene Kaspersky.
Kaspersky Lab intende rassicurare i propri clienti e partner che la società continuerà a proteggerli contro qualsiasi tipo di attacco informatico indiscriminatamente. Kaspersky Lab è impegnata a fare il meglio per i propri clienti mantenendo la loro piena fiducia; la società è convinta che le misure adottate eviteranno che un incidente simile si verifichi di nuovo. Kaspersky Lab ha contattato i reparti di cyberpolizia di diversi paesi inoltrando richieste ufficiali di indagini criminali su questo attacco.
Kaspersky Lab desidera ribadire che questi sono solo i risultati preliminari delle indagini. Non c’è dubbio che questo attacco ha avuto una portata geografica molto più ampia e molti altri obiettivi. Ma a giudicare da quanto appreso fino ad ora, Duqu 2.0 è stato utilizzato per attaccare obiettivi di alto livello con interessi geopolitici simili. Per contrastare questa minaccia, Kaspersky Lab sta rilasciando “Indicatori di Compromissione” e offre la propria assistenza a tutte le organizzazioni interessate.
