Лаборатория Касперского успешно атакована неизвестным вирусом

Для сотрудников компании Лаборатория Касперского распознавание, отслеживание и обезвреживание компьютерных вирусов, червей и троянов является ежедневной работой. Однако недавно они зафиксировали особо опасное кибервторжение в собственную корпоративную сеть. Заражение оставалось незамеченным в течение нескольких месяцев.

В руководстве компании полагают, что атака началась, когда сотрудник одного из подразделения компании в Тихоокеанском регионе получил адресное, с виду безобидное, электронное письмо с инфицированным файлом во вложении, который остался и начал распространяться в корпоративной сети. Вредоносную платформу обнаружили, по всей видимости, лишь «этой весной» во время тестирования собственной системы безопасности.

Атака на Лабораторию Касперского продемонстрировала «эскалацию гонки вооружения кибероружия», сказано в 45-страничном отчете компании об инциденте, попавшем в редакцию Spiegel до его публикации. Эксперты компании еще не выяснили истинных причин атаки, но злоумышленников, очевидно, интересовала, главным образом, информация о новейших технологиях компании. Атакующие проявляли особенный интерес к деталям разработки таких продуктов и сервисов, как безопасная операционная система «Лаборатории Касперского», Kaspersky Fraud Prevention, Kaspersky Security Network и решение для защиты от сложных целевых атак и кибершпионажа(Advanced Persistent Threats или APT). Сотрудники компании классифицируют обнаруженную шпионскую платформу тоже, как APT.

Malware следующего поколения

Экспертам московского подразделения Лаборатории Касперского уже знакомы отличительные характеристики malware платформы, использовавшейся против них. Они считают, что это усовершенствованная и перестроенная версия кибероружия Duqu, не сходившего с международных передовиц в 2011 году. Система ныне обнаруженного вредоносного ПО имеет модульную структуру и построена, скорее всего, на платформе ранней версии Duqu.

Фактически, некоторые проходы и алгоритмы программы «очень похожи или практически идентичны» Duqu, считает руководитель исследовательского центра Лаборатории Касперского и участник рабочей группы, изучающей новый вирус, Виталий Камлюк. Новая платформа получила название Duqu 2.0. «Мы пришли к выводу, что это тот же самый атакующий».

На вопрос о том, кто может стоять за этой кампанией, специалисты Лаборатории Касперского дают, как правило, расплывчатые ответы, что является типичным отношением поставщиков IT-систем безопасности к вопросам установления авторства. Модульный арсенал Duqu «чрезвычайно сложный и необыкновенно дорогой», продолжает Камлюк. «Это не обычные хакеры. Возможно, мы имеем дело с атакой, поддерживаемой на государственном уровне». Как это часто случается в сложных поисках истинных организаторов кибератак, скрывающихся за технологиями, сами цели могут дать хорошую подсказку о том, кто за этим стоит.

Создатели Duqu проявляют «повышенный интерес к геополитическим отношениям», считает эксперт. Так же, как и в предыдущих атаках Duqu, одной из целей злоумышленников была ядерная программа Ирана.

«Они превзошли всех остальных кибермошенников, никому прежде не удавалось достичь такого же уровня компетентности», - сообщил Камлюк. «По нашему мнению, они даже оставили позади кибергруппу Equation Group. Это выводит угрозу на совершенно новый уровень».

Американо-израильский след

Как рассказал Камлюк, первые упоминания о новом вирусе Duqu 2.0 появились в связи с группой «5+1», площадкой для переговоров по иранской ядерной программе, включающей в свой состав с 2006 года Великобританию, США, Китай, Францию, Россию и Германию. В Лаборатории Касперского утверждают, что специалисты обнаружили следы Duqu 2.0 в трех различных местах встреч участников формата «5+1».

Ряд конфиденциальных встреч делегаций проходил, обычно, в отелях Вены и Лозанны. В целях «защиты прав клиентов и в интересах следствия» представители Лаборатории Касперского отказались указать, какие именно сайты были инфицированы.

В марте The Wall Street Journal уже сообщал, не вдаваясь в технические детали Duqu, о кибершпионаже на переговорах в формате «5+1». Ссылаясь на анонимные источники в правительстве США, издательство возложила вину на разведку Израиля, однако израильские политики резко отвергли обвинение.

Другой источник заражения Duqu 2.0 эксперты Лаборатории Касперского обнаружили в связи с проведением мероприятий по празднованию 70-летней годовщины освобождения узников Освенцима. Гостями на основном торжественном событии, прошедшем в конце января, были президент Германии Йоахим Гаук, президент Франции Франсуа Олланд, президент Украины Петр Порошенко и другие мировые лидеры.

В 2011 году специалисты компании обнаружили несколько странностей в программном коде предыдущей версии Duqu, которые подтвердили подозрения. Они предположили, что авторы кода были из стран часовой зоны GMT + 2, что они заметно меньше работали по пятницам, а по субботам и вовсе не работали, что соотносится с израильской рабочей неделей, в которой празднование шабата начинается еще в пятницу.

Тем ни менее, самым поразительным является то, что Duqu обладает основными характерными признаками компьютерного червя Stuxnet, обнаруженного в 2010 году. Поэтому, множество международных IT-экспертов было уверено, что между создателями этих двух вирусов должна существовать, по крайней мере, тесная связь. Stuxnet попавший в систему управления станции по обогащению урана в Натанзе и нанесший непоправимый ущерб огромному количеству центрифуг, был совместным американо-израильским проектом.

Ущерб нанесен

Но, по мнению специалистов Лаборатории Касперского, почти все временные метки новой версии служили отвлекающим маневром. Кроме того, в ней содержится оскорбительное упоминание одного известного китайского хакера, что российские эксперты также называют попыткой запутать следы. Как сообщил Камлюк, злоумышленники допустили ряд ошибок внутри отдельных модулей. Например, исходные метки все еще также видны.

По поводу инцидента в Лаборатории Касперского издали внутренний меморандум для сотрудников и заручились поддержкой российских и британских органов безопасности, и отправили официальное уведомление в Microsoft. Как и в первую волну поражений Duqu, нынешняя атака осуществлялась при помощи новых и ранее неизвестных эксплойтов, использовавших уязвимости нулевого дня в OC Microsoft.

Для Лаборатории Касперского, чья репутация может пострадать по мере развития ситуации, неважно, кто именно стоит за этой атакой. «Для компании, работающей в сфере IT-безопасности, сложнее всего признаться в том, что ее собственная корпоративная сеть была успешно атакована», сказано в отчете компании по поводу инцидента. Тем ни менее, руководство публично заявило о случившемся, по словам Камлюка, не в последнюю очередь по причине того, что эксперты компании уже обнаружили других жертв в ряде западных, ближневосточных и азиатских стран.