I ricercatori della società di sicurezza Internet russa Kaspersky Lab hanno scoperto un nuovo attacco stato-nazione attribuito ai membri della gang dei famigerati malware Stuxnet e Duqu. Kaspersky Lab ha scoperto Duqu 2.0 - una piattaforma malware altamente sofisticata che sfrutta tre vulnerabilità zero-day. Le infezioni malware sono legate all’evento P5+1 e alle sedi utilizzate per le riunioni di alto livello di leader mondiali. Kaspersky Lab è sicuro che i suoi clienti e partner siano al sicuro e che non ci siano ripercussioni per i prodotti, tecnologie e servizi dell’azienda. Nella primavera 2015 Kaspersky Lab ha rilevato un’intrusione informatica che ha colpito diversi suoi sistemi interni.
In seguito a questa scoperta l’azienda ha lanciato una’indagine approfondita che ha portato alla scoperta di una nuova piattaforma malware messa a punto da uno degli attori in ambito APT (advanced persistent threat) più esperti, misteriosi e potenti: Duqu. I funzionari dell'azienda ritengono che l'attacco è cominciato quando a un dipendente di Kaspersky in uno degli uffici della società nella regione Asia-Pacifico è stata inviata una mirato, e-mail apparentemente innocua con malware nascosto in allegato. Kaspersky Lab ritiene che chi ha attaccato pensava che sarebbe stato impossibile rilevare il cyberattacco. L’attacco presenta delle caratteristiche uniche e mai viste prima e non lascia praticamente tracce.
L’attacco ha sfruttato alcune vulnerabilità zero-day e dopo aver elevato i privilegi ad amministratore del dominio, il malware si è diffuso nella rete tramite i file MSI (Microsoft Software Installer) che sono comunemente utilizzati dagli amministratori di sistema per fare il deployment del software da remoto sui computer basati su Windows. Il cyberattacco non lascia nessun file disco o modifiche delle impostazioni di sistema, rendendo il rilevamento molto difficile. La filosofia e il modo di pensare del gruppo “Duqu 2.0” è una generazione avanti rispetto a tutto ciò che è stato visto fino ad ora nel mondo delle APT. I ricercatori di Kaspersky Lab hanno scoperto che l’azienda non era il solo bersaglio di questa minaccia.
Altre vittime sono state rilevate in Paesi occidentali, oltre che in Medio Oriente e Asia. Inoltre, alcune delle nuove infezioni del 2014-2015 sono legate agli eventi del P5+1 e ai luoghi di incontro relativi alle negoziazioni con l’Iran riguardo al nucleare. I responsabili della minaccia Duqu sembra abbiano lanciato gli attacchi nei luoghi dove si sono svolti gli interventi più importanti. Oltre agli eventi P5+1, il gruppo Duqu 2.0 ha lanciato un attacco simile in occasione del 70° anniversario della liberazione di Auschwitz-Birkenau. A questi eventi hanno partecipato molti politici e figure istituzionali straniere, tra le quali il presidente tedesco Joachim Gauck, il presidente francese François Hollande e il presidente ucraino Petro Poroschenko.
Kaspersky Lab ha realizzato un primo controllo della sicurezza e analisi dell’attacco. Il controllo includeva la verifica del codice sorgente e il check dell’infrastruttura aziendale. L’audit è ancora in corso e sarà completato nel corso delle prossime settimane. Oltre al furto di proprietà intellettuale non sono stati rilevati altri indicatori di attività nociva. L’analisi rileva che lo scopo principale dell’attacco era spiare le tecnologie, le ricerche in corso e i processi interni di Kaspersky Lab. Non sono state rilevate interferenze con processi o sistemi. Kaspersky Lab è convinto che i propri clienti e partner siano al sicuro e che non ci siano conseguenze per i prodotti, tecnologie e servizi dell’azienda.
Overview del cyberattacco
Nel 2015, durante un test, il prototipo di una soluzione anti-APT sviluppata da Kaspersky Lab ha mostrato chiari segnali di un attacco mirato complesso all’interno della rete aziendale. Subito dopo aver intercettato l'attacco è stata immediatamente avviata un'indagine interna. Un team di ricercatori della società, specializzati in ingegneria inversa e analisi dei malware, hanno lavorato giorno e notte per analizzare questo attacco fuori dal comune. L'azienda sta diffondendo tutti i dati tecnici relativi a Duqu 2.0 tramite Securelist. Conclusioni preliminari:
1. L'attacco è stato attentamente pianificato e realizzato dallo stesso gruppo che si nascondeva dietro il famigerato attacco APT Duqu del 2011. Kaspersky Lab ritiene che si tratti di una campagna sponsorizzata da uno stato-nazione.
2. Kaspersky Lab crede fermamente che l'obiettivo primario dell'attacco fosse quello di acquisire informazioni sulle più recenti tecnologie della società. Gli aggressori erano particolarmente interessati ai dettagli legati alle innovazioni di prodotto tra cui Kaspersky Lab Secure Operating System, Kaspersky Fraud Prevention, Kaspersky Security Network e alle soluzioni e ai servizi anti-APT. I reparti non R&D (vendite, marketing, comunicazione, legali) non erano tra gli obiettivi dei criminali.
3. Le informazioni a cui i criminali hanno avuto accesso non sono in alcun modo critiche per il funzionamento dei prodotti dell'azienda. Forte delle informazioni acquisite su questo attacco Kaspersky Lab continuerà a migliorare le performance delle soluzioni di sicurezza IT che fanno parte del proprio portfolio prodotti.
4. Inoltre, i criminali informatici hanno mostrato un forte interesse nei confronti delle indagini in corso di Kaspersky Lab sugli attacchi mirati avanzati; con molta probabilità erano a conoscenza dell’ottima reputazione della società in materia di identificazione e lotta agli attacchi APT complessi.
5. I criminali sembrano aver sfruttato fino a tre vulnerabilità zero-day. L'ultimo zero-day rimasto (CVE-2015-2360) è stato aggiornato da Microsoft il 9 giugno 2015 (MS15-061) dopo che gli esperti di Kaspersky Lab lo hanno riportato. ll programma nocivo ha utilizzato un metodo avanzato per nascondere la propria presenza nel sistema: il codice di Duqu 2.0 esiste solo nella memoria del computer e tenta di eliminare tutte le tracce dal disco rigido.
Il quadro generale
Secondo Kaspersky Lab, il software Duqu 2.0 ha utilizzato certificati digitali legittimi rubati da Foxconn, la società di elettronica con sede a Taiwan per caricare ed eseguire il virus sui computer di destinazione, ha riferito Reuters. “Le persone che si nascondono dietro Duqu fanno parte di uno dei gruppi APT più qualificati e potenti. Il gruppo ha fatto tutto il possibile per cercare di stare fuori dalla portata dei radar”, ha detto Costin Raiu, Director of Global Research & Analysis Team di Kaspersky Lab. “Questo attacco altamente sofisticato ha utilizzato fino a tre exploit zero-day, un dato davvero molto impressionante, che ha comportato costi molto alti. Per rimanere nascosto, il malware è presente solo nella memoria del kernel, così che diventi più difficile per le soluzioni anti-malware rilevarlo.
“Inoltre, per ricevere istruzioni non si connette direttamente a un server di comando e controllo ma i criminali infettano gateway di rete e firewall mediante l'installazione di driver dannosi che delegano tutto il traffico dalla rete interna ai server di comando e controllo dei criminali”, ha aggiunto Costin Raiu. “Spiare le aziende di sicurezza informatica è una tendenza molto pericolosa. Il software di sicurezza è l'ultima frontiera della protezione di imprese e clienti nel mondo moderno, in cui le apparecchiature hardware e di rete possono essere compromesse. Inoltre, prima o poi le tecnologie implementate in simili attacchi mirati saranno esaminate e utilizzate da terroristi e criminali informatici professionali”, ha commentato Eugene Kaspersky, CEO di Kaspersky Lab.
“Questo scenario oltre ad essere possibile è estremamente pericoloso. Raccontare di questi incidenti è l'unico modo per rendere il mondo più sicuro. Questo aiuta le a migliorare la progettazione della sicurezza delle infrastrutture enterprise e invia un segnale semplice agli sviluppatori di questo malware: tutte le operazioni illegali saranno fermate e perseguite. L'unico modo per proteggere il mondo è quello che sia le forze di polizia che le società di sicurezza combattano apertamente questi attacchi. Racconteremo sempre degli attacchi che scopriremo, indipendentemente dalla loro origine”, ha aggiunto Eugene Kaspersky. Duqu ha grandi somiglianze con il worm Stuxnet, scoperto nel 2010.
Kaspersky Lab intende rassicurare i propri clienti e partner che la società continuerà a proteggerli contro qualsiasi tipo di attacco informatico indiscriminatamente. Kaspersky Lab è impegnata a fare il meglio per i propri clienti mantenendo la loro piena fiducia; la società è convinta che le misure adottate eviteranno che un incidente simile si verifichi di nuovo. Kaspersky Lab ha contattato i reparti di cyberpolizia di diversi paesi inoltrando richieste ufficiali di indagini criminali su questo attacco. Kaspersky Lab desidera ribadire che questi sono solo i risultati preliminari delle indagini. Non c'è dubbio che questo attacco ha avuto una portata geografica molto più ampia e molti altri obiettivi.
Ma a giudicare da quanto appreso fino ad ora, Duqu 2.0 è stato utilizzato per attaccare obiettivi di alto livello con interessi geopolitici simili. Per contrastare questa minaccia, Kaspersky Lab sta rilasciando “Indicatori di Compromissione” e offre la propria assistenza a tutte le organizzazioni interessate. Le procedure di protezione di Duqu sono state aggiunte ai prodotti dell’azienda. I prodotti di Kaspersky Lab rilevano questa minaccia come HEUR:Trojan.Win32.Duqu2.gen. E’ possibile avere maggiori dettagli sul malware Duqu 2.0 e sugli Indicatori di Compromissione nel technical report. Inoltre, sono disponibili linee guida generali su come contrastare gli attacchi APT all’interno dell’articolo “How to mitigate 85% of all targeted attacks using 4 simple strategies”. Per ulteriori informazioni su Kaspersky Lab: www.kaspersky.com/it.
Nessun commento:
Posta un commento