10/06/2015

Kaspersky Lab rozpoczyna dochodzenie w sprawie ataku na własną sieć

Porady Projekt specjalny

Mam dobre i złe wiadomości.

Zła wiadomość

Zła wiadomość jest taka, że odkryliśmy zaawansowany atak na naszą wewnętrzną sieć. Jest on złożony, potajemny i wykorzystuje kilka luk typu zero-day. Jesteśmy przekonani, że stoi za nim jakieś państwo. Nazwaliśmy go Duqu 2.0. Dlaczego akurat tak i co on ma wspólnego z oryginalnym Duqu? – Tego dowiecie się stąd.

duqu2_w

Dobra wiadomość: a) Odkryliśmy go

Pierwsza część dobrej informacji jest taka, że odkryliśmy coś naprawdę dużego. Tak, koszt stworzenia i utrzymywania takiego szkodliwego ataku jest kolosalny. Sposób myślenia atakujących znacznie wyprzedza wszystko, co do tej pory widzieliśmy – wykorzystują oni wiele trików, dzięki którym naprawdę trudno jest wykryć i zneutralizować zagrożenie. Wygląda na to, że ludzie stojący za Duqu 2.0 byli w pełni przekonani, że ich tajna działalność nie zostanie wykryta, a jednak nam się udało – przy wykorzystaniu wersji alfa naszego nowego rozwiązania chroniącego przed atakami typu APT, które zostało stworzone do walki z nawet najbardziej wyszukanymi atakami ukierunkowanymi.

Dobra wiadomość: b) Nasi klienci są bezpieczni

Najważniejsze jest to, że ani nasze produkty, ani nasze usługi nie zostały zhakowane, więc nasi klienci nie są zagrożeni w związku z atakiem.

Szczegóły

Cyberprzestępcy byli najbardziej zainteresowani szczegółami dotyczącymi innowacji w produktach, łącznie z bezpiecznym systemem operacyjnym Kaspersky Lab, Kaspersky Fraud Prevention, Kaspersky Security Network, a także rozwiązaniami i usługami przeznaczonymi do walki z atakami APT. Ponadto interesowali się naszymi aktualnymi dochodzeniami oraz metodami wykrywania i możliwościami analiz. Ponieważ nasza firma posiada reputację jednej z najbardziej efektywnych w wykrywaniu i walce ze skomplikowanymi zagrożeniami, atakujący chcieli pozostać niezauważeni. Bezskutecznie.

Przypuszczony na nas atak był naprawdę sprytnie zorganizowany, jednak ostatecznie przestępcy utracili bardzo drogą zaawansowaną technologicznie strukturę, którą tworzyli przez kilka lat. Ponadto starali się szpiegować nasze technologie… a do ich dostępu wymagane są umowy licencyjne (a przynajmniej do części z nich)!

Odkryliśmy, że grupa stojąca za atakiem Duqu 2.0 szpiegowała także kilka ofiar wysokiego szczebla, wśród których znaleźli się uczestnicy międzynarodowych negocjacji w sprawie irańskiego programu nuklearnego, a także obchodów 70. rocznicy wyzwolenia Auschwitz. Chociaż wewnętrzne śledztwo wciąż trwa, jesteśmy przekonani, że atak ten jest znacznie bardziej rozpowszechniony i dotknął znacznie więcej ważnych celów z różnych krajów. Według mnie bardzo prawdopodobne jest, że po naszym wykryciu Duqu 2.0 osoby za nim stojące wymazały swoją obecność w zainfekowanych sieciach, aby uniknąć zidentyfikowania.

Duqu 2.0 szpiegował wysoko postawione osoby, włącznie z dygnitarzami obecnymi na spotkaniu w sprawie programu nuklearnego Iranu oraz obchodach rocznicy wyzwolenia Auschwitz – ale to dopiero wierzchołek góry lodowej

My z kolei wykorzystamy ten atak, aby ulepszyć nasze technologie ochronne. Nowa wiedza zawsze jest w cenie, a dogłębniejsze zbadanie zagrożenia pomoże nam we wdrożeniu skuteczniejszej ochrony. Oczywiście nasze produkty wykrywają już Duqu 2.0. Więc tak naprawdę nie takie złe są te wiadomości.

Jak już wspomnieliśmy, nasze śledztwo trwa. Będziemy potrzebować kilku tygodni, aby zobaczyć cały obraz ze wszystkimi jego szczegółami. Jednak sprawdziliśmy już, że kod źródłowy naszych produktów nie został naruszony. Możemy potwierdzić, że nasze bazy zawierające dane o szkodliwym oprogramowaniem nie ucierpiały, a atakujący nie uzyskali dostępu do danych naszych klientów.

Ktoś może zapytać, dlaczego ujawniliśmy tę informację albo czy nie boimy się utraty reputacji.

Cóż, nieujawnienie takiej sprawy byłoby jak niezgłoszenie policji wypadku samochodowego, w którym są ofiary, z powodu obawy o utratę bonusu za bezszkodową jazdę. Ponadto znamy anatomię ataków ukierunkowanych na tyle dobrze, że rozumiemy, że nie ma się czego wstydzić, jeśli chodzi o informowanie o nich – mogą się one przydarzyć każdemu. Pamiętajcie: są dwa rodzaje firm – te, które zostały zaatakowane, i te, które nie wiedzą, że zostały zaatakowane. Poprzez poinformowanie o tym incydencie nasza firma (i) daje o nim publicznie znać oraz pyta o słuszność i moralność ataku przypuszczalnie sponsorowanego przez kraj, który jest wymierzony w firmy prywatne, a zwłaszcza w firmy zajmujące się tworzeniem oprogramowania bezpieczeństwa; (ii) dzieli się wiedzą z innymi firmami, aby pomóc im w ochronie swoich aktywów. Nawet jeśli nasza reputacja zostanie nadszarpnięta – trudno. Naszym zadaniem jest ratowanie świata i tu nie może być mowy o wyjątkach.

Kto stoi za atakiem? Jaki kraj?

Powtarzam: my nie przypisujemy ataków do poszczególnych krajów. Jesteśmy ekspertami bezpieczeństwa – najlepszymi – i nie chcemy osłabiać naszych głównych kompetencji, bawiąc się w politykę. Nasz firma, jako jawny zwolennik odpowiedzialnego ujawnienia ataku, złożyła stosowne zeznania organom ścigania w różnych krajach, aby mogło rozpocząć się śledztwo. Ponadto poinformowaliśmy firmę Microsoft o wykrytej luce zero-day, która została niedawno załatana (nie zapomnijcie zainstalować aktualizacji w swoim Windowsie).

Zwyczajnie chciałbym, aby każdy wykonywał swoją pracę a świat zmieniał się na lepsze.

Kończąc to oświadczenie, chciałbym podzielić się jeszcze jedną poważną obawą.

Atakowanie przez rządy firm zajmujących się bezpieczeństwem jest zwyczajnie zachowaniem skandalicznym. Powinniśmy stać po tej samej stronie, walcząc o ten sam cel – bezpieczny cyberświat. Dzielimy się naszą wiedzą, aby skuteczniej zwalczać cyberprzemoc i pomagać w śledztwach. Wspólnie zrobiliśmy już wiele, aby cyberświat był lepszym miejscem. Ale teraz widzimy, że niektórzy członkowie tej „społeczności” nie przestrzegają zasad prawa, etyki zawodowej czy zdrowego rozsądku.

Ludzie mieszkający w szklanych domach nie powinni rzucać kamieniami.

Dla mnie jest to kolejny jasny sygnał, że potrzebujemy globalnie zaakceptowanych zasad gry, aby ograniczyć cyberszpiegostwo i zapobiegać cyberwojnom. Jeżeli różne podziemne ugrupowania – często powiązane z rządem – będą traktować internet jak Dziki Zachód, na którym nie obowiązują żadne zasady, i bezkarnie wywoływać agresję, to zrównoważony rozwój technologii informacyjnych na całym świecie będzie zagrożony. Więc jeszcze raz wzywam wszystkie odpowiedzialne rządy, aby się zjednoczyły i zgodziły z tymi zasadami i aby walczyły przeciwko cyberprzestępczości i szkodliwemu oprogramowaniu, nie sponsorowały go ani promowały.