KASPERSKY. Reconoce un ataque contra sus sistemas

Los Laboratorios Kaspersky han publicado un aviso en el que reconocen haber sufrido un ataque dirigido, de igual forma confirman que ninguno de sus productos, servicios o clientes se han visto afectados. 

Intrahistoria de la noticia

• Kaspersky, han sufrido un ataque avanzado sobre sus sistemas internos. Según la firma, el ataque es sumamente avanzado y desarrollado, lo que junto con algunas similitudes en el código ha hecho que este ataque, el malware y su plataforma asociada, quede bautizado como Duqu 2.0.
• Evidentemente, una de las cosas que Kaspersky quiere dejar, y deja, bien claro, es que ninguno de sus productos se ha visto comprometido, y que sus clientes no se enfrentan a ningún riesgo causado por este ataque.
• "Ya hemos comprobado que el código fuente de nuestros productos está intacto. Podemos confirmar que nuestras bases de datos de malware no se han visto afectadas, y que los atacantes no han tenido acceso a los datos de nuestros clientes."
• Pero detrás de Duqu 2.0, se esconde "algo realmente grande", según confirman este malware está una generación por delante de todo lo visto hasta ahora, además de utilizar una serie de trucos que hacen que sea muy difícil de detectar y neutralizar.
• Las investigaciones de Kasperky han relacionado las nuevas infecciones de este malware con eventos y lugares del P5+1, un grupo de seis potencias mundiales con especial interés en el programa nuclear iraní y las negociaciones sobre un acuerdo nuclear con este país. El P5+1 está formado por los cinco miembros permanentes del Consejo de Seguridad de la ONU, Estados Unidos, Rusia, China, Reino Unido y Francia, además de Alemania. De igual forma, Duqu 2,0 también habría lanzado un ataque similar en relación con el evento del 70 aniversario de la liberación de Auschwitz-Birkenau. Kaspersky ha encontrado víctimas de Duqu 2.0 en diferentes lugares, incluidos los países occidentales, Oriente Medio y Asia.
• Lo avanzado del ataque, la cantidad de recursos necesarios para su desarrollo y puesta en marcha, así como los objetivos hacen pensar que, sin duda, detrás de esto se encuentra un país, ¿Cuál? Eso está todavía por descubrir. Y Kaspersky, que confirma que aun investiga más datos sobre el ataque, no adelanta ninguna información al respecto.

Detalles técnicos del ataque y similitudes con otros ataques Docu

• El vector inicial del ataque todavía se desconoce, aunque sospechan que posiblemente haya sido a través de correos de spear-phishing (phishings específicamente dirigidos y construidos para un objetivo concreto). Lo que sí se ha confirmado es el uso de varios exploits 0day para su introducción en los sistemas.
• En 2011, el ataque original de Duqu empleaba una vulnerabilidad día cero en Word (CVE-2011-3402), un exploit que permitía a los atacantes saltar al modo kernel desde un documento Word. En 2014 se detectó una técnica muy similar, también con exploit día cero (CVE-2014-4148), contra una importante organización internacional. El servidor C&C (Comando y Control) empleado en este ataque del 2014, así como otros factores, tenían similitudes con Duqu, aunque la muestra de malware empleada era diferente tanto a Duqu, como a Duqu 2.0. Según Kaspersky todo indica que este 0day (CVE-2014-4148), parcheado por Microsoft en noviembre de 2014, fuera el empleado para instalar Duqu 2.0.
• Si bien, para el caso del ataque a Kaspersky Lab, el ataque se aprovechó de otro día cero (CVE-2015-2360) sobre el kernel de Windows, parcheada por Microsoft este pasado martes (en el boletín MS15-061) y posiblemente hasta otras dos vulnerabilidades diferentes, actualmente corregidas, pero que también fueron día cero en su momento.

CONCLUSION

• Sin duda, los atacantes cometieron un error al atacar a una firma de seguridad como Kaspersky, ¿qué otros objetivos similares habrán tenido?
• Al atacar a Kaspersky los atacantes estaban interesados en aprender sobre las tecnologías de seguridad, y los productos antivirus de la firma. Buscaban información para conseguir permanecer más tiempo ocultos sin que los objetivos atacados se percataran de ello.

Más información:

• P5+1 Negotiations with Iran https://www.whitehouse.gov/issues/foreign-policy/iran-negotiations
• Kaspersky Lab investiga un ataque hacker a su propio sistema https://blog.kaspersky.es/kaspersky-statement-duqu-attack/6231/
• The Mystery of Duqu 2.0: a sophisticated cyberespionage actor returns https://securelist.com/blog/research/70504/the-mystery-of-duqu-2-0-a-sophisticated-cyberespionage-actor-returns/
• The duqu 2.0. Technical Details. https://securelist.com/files/2015/06/The_Mystery_of_Duqu_2_0_a_sophisticated_cyberespionage_actor_returns.pdf

Fuente: Hispasec