Лаборатория Касперского обнаружила атаку на свою корпоративную сеть

Лаборатория Касперского обнаружила атаку на свою корпоративную сеть

Ранней весной 2015 года «Лаборатория Касперского» зафиксировала кибервторжение в свою корпоративную сеть. В ходе последовавшего за этим расследования была обнаружена новая вредоносная платформа, имеющая непосредственное отношение к одной из самых сложных и загадочных кампаний кибершпионажа – Duqu, раскрытой в 2011 году. Новая платформа получила название Duqu 2.0.

«Лаборатория Касперского» полагает, что атакующие были уверены в том, что их деятельность не может быть обнаружена – они использовали уникальные и ранее не встречавшиеся инструменты и практически не оставляли следов в системе. Атака осуществлялась при помощи эксплойтов, использовавших уязвимости нулевого дня в OC Windows, а дополнительное вредоносное ПО доставлялось в атакованные системы под видом Microsoft Software Installers (MSI) – установочных файлов, используемых системными администраторами для инсталляции ПО на компьютеры в удаленном режиме. Вредоносное ПО не создавало и не модифицировало какие-либо дисковые файлы или системные настройки, что делало детектирование атаки затруднительным.

«Лаборатория Касперского» оказалась не единственной целью атакующих – эксперты компании обнаружили других жертв в ряде западных, ближневосточных и азиатских стран. Среди наиболее заметных мишеней новой кампании Duqu в 2014-2015 годах стали площадки для переговоров по иранской ядерной программе «Группы 5+1» и мероприятий, посвященных 70-й годовщине освобождения узников Освенцима. Во всех этих событиях принимали участие высокопоставленные лица и политики.

В настоящее время «Лаборатория Касперского» продолжает расследовать инцидент. Уже была проведена проверка корпоративной инфраструктуры и верификация исходного кода. Как показал первичный анализ, главной задачей атакующих было получение информации о технологиях и исследованиях «Лаборатории Касперского». Помимо попыток кражи интеллектуальной собственности, никакой другой вредоносной активности, в том числе вмешательства в процессы или системы, в корпоративной сети компании зафиксировано не было. «Лаборатория Касперского» уверена, что инцидент не оказал никакого влияния на продукты, технологии и сервисы компании. Ее клиенты и партнеры в безопасности.

Детали инцидента

Признаки таргетированной атаки на свою корпоративную сеть «Лаборатория Касперского» заметила в ходе тестирования прототипа решения для защиты от подобных угроз – целевых атак и кибершпионажа. В процессе исследования Duqu 2.0 удалось установить следующее:

  1. Атака была тщательно спланирована и выполнялась той же группировкой, что стояла за известной кампанией кибершпионажа Duqu, обнаруженной в 2011 году. «Лаборатория Касперского» считает, что эта кампания спонсируется на государственном уровне.
  2. «Лаборатория Касперского» уверена, что атака организовывалась с целью получить информацию о новейших технологиях компании. Атакующие проявляли особенный интерес к деталям разработки таких продуктов и сервисов, как безопасная операционная система «Лаборатории Касперского», Kaspersky Fraud Prevention, Kaspersky Security Network и решение для защиты от сложных целевых атак и кибершпионажа. Подразделения, не занимающиеся разработкой продуктов (продажи, маркетинг, коммуникации, юридический департамент), не представляли интереса для атакующих.
  3. Информация, оказавшаяся в руках организаторов атаки, не является критической для функционирования продуктов компании. Более того, глубокие знания об этой атаке и ее методах позволят «Лаборатория Касперского» повысить эффективность своих защитных решений.
  4. Атакующие также проявили высокий интерес к исследованиям кампаний кибершпионажа, которые «Лаборатория Касперского» проводит в настоящее время. Вероятно, тут сыграла роль репутация компании как эксперта в вопросах детектирования и нейтрализации сложных кибератак.
  5. Для реализации атаки использовалось до трех уязвимостей нулевого дня. Последняя из них (CVE-2015-2360) была закрыта Microsoft 9 июня 2015 года (MS15-061) после сообщения от «Лаборатории Касперского».
  6. Вредоносная программа использует усовершенствованный метод сокрытия своего присутствия в системе: код Duqu 2.0 существует только в оперативной памяти компьютера и старается удалить все следы на жестком диске.

Новая норма

«Duqu является одной из самых сильных и хорошо подготовленных кибергруппировок, и они сделали все возможное, чтобы не попасться, – рассказывает Костин Райю, руководитель Глобального центра исследований и анализа угроз «Лаборатории Касперского». – В этой тщательно спланированной атаке использовалось до трех уязвимостей нулевого дня, а, значит, атакующие не жалели ресурсов, и судя по всему, расходы их были велики. Само вредоносное ПО базируется исключительно в памяти ядра операционной системы, из-за чего антивирусные решения не замечают его. Кроме того, зловред не обращается напрямую к командно-контрольному серверу для получения инструкций. Вместо этого атакующие заражают шлюзы и межсетевые экраны, устанавливая на них вредоносные драйверы, которые перенаправляют трафик из внутренних сетей на серверы атакующих».

Комментируя ситуацию, Евгений Касперский, генеральный директор «Лаборатории Касперского», заявил: «Шпионаж в отношении антивирусных компаний – очень тревожная тенденция. В современных условиях, когда любое оборудование и сеть могут подвергнуться заражению, защитное ПО является последним рубежом информационной безопасности для компаний и пользователей. Кроме того, существует большая вероятность, что рано или поздно технологии, задействованные в подобных таргетированных атаках, начнут использовать террористы и киберпреступники. А это уже очень серьезно».

«Предавать огласке подобные инциденты – единственный способ сделать мир более безопасным, – добавил Евгений Касперский. – Такой подход не только поможет улучшить защиту инфраструктур предприятий, он станет открытым посланием всем разработчикам вредоносного ПО и демонстрацией того, что все нелегитимные операции будут остановлены и расследованы. Защитить мир можно только при объединении усилий правоохранительных органов и секьюрити-компаний, открыто борющихся с подобными атаками. Мы всегда будем сообщать обо всех киберинцидентах независимо тот того, кто стоит за их организацией».

«Лаборатория Касперского» заверяет своих клиентов и партнеров, что компания продолжит бороться со всеми кибератаками, вне зависимости от того, кто за ними стоит и на кого они нацелены. «Лаборатория Касперского» считает своей важнейшей задачей сохранить доверие своих пользователей. Компания уверена, что меры, которые она приняла, не только помогут нейтрализовать эту угрозу, но также позволят избежать подобных инцидентов в будущем. В настоящее время «Лаборатория Касперского» направляет официальные заявления в полицейские департаменты, занимающиеся расследованием киберпреступлений.

«Лаборатория Касперского» отмечает, что представленная информация – это предварительные результаты расследования. Без сомнения, географический охват и список жертв этой атаки гораздо шире. Однако исходя из тех данных, которыми компания располагает уже сейчас, ясно, что Duqu 2.0 использовался для атак на высокопоставленных жертв, а атакующие руководствовались, в том числе, геополитическими интересами. В целях нейтрализации этой угрозы «Лаборатория Касперского» публикует индикаторы заражения, а также предлагает свою помощь всем заинтересованным организациям.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Solar 4RAYS подготовили рекомендации на каникулы

Эксперты центра Solar 4RAYS подготовили рекомендации для киберзащитников компаний, которые помогут наладить инфраструктуру так, чтобы можно было беззаботно встретить новый год.

Как напоминают эксперты, новогодние праздники редко обходятся без инцидентов. Злоумышленники пользуются тем, что ИБ-подразделения уходят на каникулы или переходят на удаленный режим работы.

В результате ИБ-специалисты не всегда могут оперативно распознать признаки инцидента и вовремя отреагировать на него, а злоумышленники почти беспрепятственно проникают в инфраструктуры компаний.

Начать эксперты Solar 4RAYS рекомендуют с инвентаризации. Необходимо убедиться, что известны все сегменты сети и активы, которые там находятся. Очень часто злоумышленники атакуют через уязвимые узлы, которые не контролируют ИТ и ИБ-службы, и их обслуживанием занимаются какие-то другие подразделения.

Полезно также будет просканировать пул публичных адресов компании. Это позволит понять и оценить, как ИТ-инфраструктура выглядит с точки зрения потенциальных злоумышленников и определить потенциально уязвимые компоненты. Часть сервисов и приложений на период каникул лучше вообще сделать недоступными из публичного интернета.

Другой важной мерой является создание резервных копий наиболее важных систем. Это позволит восстановить их работоспособность, если ситуация будет развиваться по самому неблагоприятному сценарию.

При этом хранить резервные копии нужно таким образом, чтобы до них не добрались злоумышленники. Для доступа к ним лучше использовать отдельные учетные записи с минимально необходимым набором привилегий, а лучше хранить резервные копии в том сегменте сети, который изолирован от основного.

Необходимо также установить патчи для всех ключевых приложений, прежде всего для публично доступных сервисов. Причем эту задачу надо решать заранее, не откладывая ее на последний рабочий день перед каникулами.

Другой важной мерой является ревизия и смена паролей. Необходимо найти и удалить неиспользуемые учетные записи, сменить пароли администраторов и удаленных пользователей, установить многофакторную аутентификацию для них. Учетные записи подрядчиков нужно отключить на время каникул.

Полезным будет также аудит парольных политик, что позволит исключить «слабые» пароли, которые очень часто используют злоумышленники для атак. Также нужно убедиться в том, что никакие критичные пароли не хранятся в открытом виде на различных ресурсах. 

Полезной мерой будет проверка компрометации инфраструктуры, хотя бы на базовом уровне. Сюда входят срабатывания средств защиты, появление подозрительных файлов, запуск системных служб, появление новых пользователей, установка нового ПО. Также необходима проверка системных журналов на предмет сомнительных аутентификаций, сетевых соединений и всплесков объемов передачи трафика. Эти меры нужно повторить и сразу после каникул, чтобы убедиться в том, что в инфраструктуру компании никто не проник.

В компании также должны быть назначены ответственные за реагирование на инциденты. Необходимы пошаговые инструкции для каждого из участников команды, которые бы описывали первоочередные меры реагирования. Причем ответственные лица должны быть доступны в режиме 24/7. Данную функцию можно делегировать внешнему поставщику услуг.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru