Cea mai mare amenințare cibernetică ar putea fi din Israel și s-a infiltrat în serverele Kaspersky

de: Octavian Palade
10 06. 2015

Cercetătorii Kaspersky au descoperit un atac cibernetic de proporții masive care a afectat numeroase ținte din diverse țări. Se crede că în spatele atacului s-ar putea afla Israelul, însă înspăimântor este faptul că malware-ul folosit a reușit să infiltreze chiar și serverele Kaspersky Labs

Infecția a fost descoperită chiar pe unul dintre serverele interne Kaspersky și s-ar părea că atacatorii erau absolut siguri că virusul nu va fi descoperit. După o analiză amănunțită, experții au găsit câteva elemente similare cu una dintre cele mai cunoscute campanii de spionaj: Duqu. Astfel, campania actuală a fost denumită Duqu 2.0.

Atacul s-a folosit de vulnerabilități de tip zero day pentru a obține privilegii de administrator pe sistem, se răspândea prin fișiere de tip MSI (folosite, de regulă, de administratorii de sistem pentru a instala software de la distanță) și nu lăsa niciun fel de modificare pe hard disk și nici nu schimba setările sistemului, făcând detectarea aproape imposibilă. ”Filosofia și modul de gândire ale grupării Duqu 2.0 sunt cu o generație înainte oricărui atac de tip Advanced Persistent Threat pe care l-am văzut”, spun experții Kaspersky.

Compania a descoperit, în scurt timp, că nu era singura țintă a acestei grupări. Duqu 2.0 a fost folosit și pentru spionarea unor țări occidentale, dar și a unor state din Orientul Mijlociu și Asia. Multe dintre infecții sunt legate de evenimentele P5+1, care țin de programul nuclear Iranian. Mai exact, au fost lansate atacuri în locurile în care au existat negocieri pe această temă. Un atac similar a fost lansat și cu ocazia aniversării a 70 de ani de la eliberarea lagărelor Auschwitz-Birkenau.

Având în vedere aceste aspecte, cu toate că cei de la Kaspersky nu au spus decât că este vorba despre un actor statal în spatele acestui virus, putem presupune că atacurile vin dinspre Israel, având în vedere că ambele evenimente au legătură directă cu această țară. ”Nu putem spune cu exactitate cine este în spatele acestui atac”, a spus Eugene Kaspersky. ”Nu am nicio dovadă să pot confirma că atacul provine din Israel”.

Potrivit Kaspersky, atacul a fost foarte bine pus la punct și se presupune că în spatele lui se află aceeași grupare care a pus în practică atacul Duqu din 2011. Compania de securitate ar fi fost atacată deoarece hackerii voiau acces la cele mai noi tehnologii de detectare și protecție, căutând detalii despre tehnologiile Secure Operating System, Fraud Prevention, Security Network și Anti-APT. Din fericire, informațiile furate nu sunt critice pentru Kaspersky.

”Este stupid să ataci o companie de securitate. Mai devreme sau mai târziu, tot vei fi depistat”, a declarat Eugene Kaspersky, fondatorul companiei. ”Dacă este să vorbim în termeni Hollywoodieni, am putea spune că malware-ul este o combinație între Alien, Predator și Terminator”, a mai spus acesta. Atacul a fost descoperit mulțumită unei noi tehnologii creată special pentru a detecta atacurile de tip APT. Duqu 2.0 a persistat în serverele companiei timp de câteva luni.

”Acest atac foarte sofisticat s-a folosit de trei vulnerabilități de tip zero-day, lucru care a costat foarte mult. Costurile trebuie să fi fost foarte mari”, a declarat Costin Raiu, lider al echipei GREAT. Costurile totale ale atacurilor s-ar fi putut ridica undeva la 10 milioane de dolari.

”De regulă, companiile nu ies public dacă au parte de astfel de atacuri. Noi am decis să procedăm altfel”, a declarat Eugene Kaspersky, care consideră că instituțiile și companiile ar trebui să fie mai transparente când vine vorba de problemele de securitate de acest gen, ”dacă nu, vor muri una câte una”.