12/06/2015

Παραβίαση της Ρώσικης εταιρείας ασφαλείας Kaspersky Lab

Η Ρώσικη εταιρεία ασφαλείας Kaspersky Lab ανακάλυψε πρόσφατα ότι μια ισχυρή και μυστηριώδης ομάδα hackers χρησιμοποιώντας ένα advanced persistent threat (APT) γνωστό σαν Duqu παραβίασε τα συστήματα της, αξιοποιώντας ένα zero-day στο Windows Kernel. Από το 2012 μέχρι και σήμερα δεν έχει καταγραφεί άλλη δραστηριότητα στον κυβερνοχώρο που σχετίζεται με το Duqu μια πλατφόρμα που χρησιμοποιείται για κυβερνο-κατασκοπεία. Ωστόσο, οι λοιμώξεις έγιναν από μια νέα έκδοση της πλατφόρμας (που ονομάστηκε Duqu2. Το νέο κακόβουλο λογισμικό εμφανίστηκε το 2014 και συνεχίζει να υπάρχει μέχρι και σήμερα στις δυτικές χώρες. Η zero-day ευπάθεια που αξιοποιεί το κακόβουλο λογισμικό είναι η CVE-2015-2360, η οποία έγινε patched από τη Microsoft την Τρίτη που μας πέρασε. Η δραστηριότητά του αποκαλύφθηκε κατά τη διάρκεια εσωτερικού ελέγχου ασφάλειας των συστημάτων. Ο λόγος ο οποίος δεν είχε εντοπιστεί από την αρχή είναι ότι δεν άφηνε κανένα ίχνος στα μολυσμένα συστήματα και έτρεχε στη μνήμη. Εκτός από την εγκατάσταση του στη μνήμη RAM, το κακόβουλο λογισμικό δεν δημιουργούσε πολύ κίνηση (traffic), η οποία θα μπορούσε να ενεργοποιήσει τα αντι-APT συστήματα της Kaspersky. Το κακόβουλο λογισμικό προσποιούνταν επίσης ότι είναι ο διαχειριστής του συστήματος, μια τακτική που δεν επέτρεπε την ανίχνευση.

Η Kaspersky αναφέρει ότι μια ή δύο ακόμα ευπάθειες έχουν χρησιμοποιηθεί στην επίθεση που έγινε στα συστήματα της. Οι ερευνητές αναφέρουν ότι η αρχική επίθεση ξεκίνησε σε ένα από τα μικρότερα γραφεία της στην περιοχή της Ασίας και πιθανώς χρησιμοποιήθηκαν spear-phishing emails. «Τα κακόβουλα modules παρατηρήθηκαν να προσπαθούν να πραγματοποιήσουν επιθέσεις ‘pass the hash’ στο τοπικό δίκτυο, δίνοντας ουσιαστικά στους επιτιθέμενους πολλούς διαφορετικούς τρόπους για να πραγματοποιήσουν πλευρική κίνηση,» αναφέρει η Kaspersky Lab. Εντοπίστηκαν πάνω από 100 παραλλαγές κακόβουλων plugins.  Πιστεύεται ότι το Duqu 2 είναι ένα κυβερνητικό malware που στοχεύει εταιρείες υψηλού προφίλ στα δυτικά, στην Ασία, στη Μέση Ανατολή και τη Ρωσία, που το κόστος τους εκτιμάται από την Kaspersky ξεκινάει από τα 10 εκατομμύρια δολάρια.

Το Duqu 2 χρησιμοποιεί πολλαπλές τακτικές για να εξαπλωθεί στο δίκτυο, και στις περισσότερες περιπτώσεις, η επίθεση πραγματοποιήθηκε με την υποστήριξη του Microsoft Windows Installer (τα πακέτα MSI που μπορούν να τεθούν σε λειτουργία εξ αποστάσεως σε άλλους υπολογιστές). Τα αρχεία MSI μπορούσαν να φορτώσουν στη μνήμη το ωφέλιμο φορτίο του κακόβουλου λογισμικού και να ανοίξουν backdoors για τους κατασκοπευτικούς σκοπούς των επιτιθέμενων. Το κύριο module του Duqu2 υλοποιεί χειρισμούς για την επικοινωνία με το κέντρο διοίκησης και ελέγχου ή C&C server και χρησιμοποιεί πάρα πολλά πρωτόκολλα σύνδεσης μέσω proxy και αυτο-υπογεγραμμένα πιστοποιητικά HTTPS. Η ανάλυση του κακόβουλου λογισμικού έδειξε ότι θα μπορούσε να συλλέξει δεδομένα από τις διεργασίες που εκτελούνται, στην επιφάνεια εργασίας και τα terminal sessions. Αναζητούσε ακόμα, κατέγραφε και έτρεχε αρχεία όπως τα “*.inuse, *.hml,” filename contains “data.hmi” ή “val.dat,” καθώς και το περιεχόμενο από συγκεκριμένους φακέλους. Ο σκοπός της επίθεσης στο δίκτυο της Kaspersky Lab φαίνεται να είναι η κατασκοπεία της χρησιμοποιούμενης τεχνολογίας και αυτής που αναπτύχθηκε από την εταιρεία.

Ο ιδρυτής της Kaspersky Labs εμφανίστηκε με εύθυμη διάθεση σε μια συνέντευξη Τύπου στο Λονδίνο, για να προσφέρει διευκρινίσεις σχετικά με την επίθεση που δέχτηκε η εταιρεία του. Ο Eugene Kaspersky δεν έδωσε πληροφορίες για το ποιος ήταν πίσω από την επίθεση της Kaspersky Labs και απέφυγε να δώσει κάποιο συγκεκριμένο χρονοδιάγραμμα για το πότε πραγματοποιήθηκε η παραβίαση. Έσπευσε όμως να επισημάνει την πολυπλοκότητα της πλατφόρμας που χρησιμοποιήθηκε, το Duqu δεύτερης γενιάς που εντοπίστηκε για πρώτη φορά το 2014 μετά από δύο χρόνια απουσίας από το διαδίκτυο.Δήλωσε ότι το κακόβουλο λογισμικό και τακτικές που χρησιμοποιήθηκαν από το APT του επέτρεπαν να είναι σχεδόν αόρατο στο δίκτυο για αρκετό διάστημα.Τα συστατικά του Duqu 2 βρέθηκαν στο εσωτερικό δίκτυο του γραφείου APAC της εταιρείας ασφάλειας την άνοιξη, αλλά ο Eugene Kaspersky είπε ότι υπήρχε εκεί απαρατήρητο για πολύ καιρό, ίσως λίγους μήνες. Ο Eugene Kaspersky δήλωσε ότι οι ερευνητές της Kaspersky Labs θα αναφέρουν ασφαλή συμπέρασμα μόνο όταν εξετάσουν τον πηγαίο κώδικα του κακόβουλου λογισμικού, και τους διακομιστές διοίκησης και ελέγχου που χρησιμοποιεί. Κατά τη διάρκεια της συνέντευξης Τύπου δεν κατονόμασε καμία κυβέρνηση. H συνέντευξη έκλεισε με τον Eugene Kaspersky να δηλώνει: “Don’t hack me! That’s a bad idea”.

Η Kaspersky Lab έχει την πεποίθηση ότι η συγκεκριμένη παραβίαση δεν έχει επιπτώσεις στα προϊόντα, τις τεχνολογίες και τις υπηρεσίες της και ότι οι πελάτες και οι συνεργάτες της είναι ασφαλείς. Προφανώς η Kaspersky Labs θα προσπαθήσει το επόμενο διάστημα να συλλέξει περισσότερες πληροφορίες για την υποδομή του κακόβουλου λογισμικού προσέγγιση και να αναλύσει τις τεχνολογίες που χρησιμοποιήθηκαν.  Η έρευνα συνεχίζεται από ειδικούς ασφαλείας και αργότερα θα γνωρίζουμε περισσότερες λεπτομέρειες.

No comments :

Post a Comment