Расследование хакерской атаки на «Лабораторию Касперского»

«Лаборатория Касперского» обнаружила шпионскую программу в своей внутренней сети, публикует результаты расследования.
ТЛДР: нет угрозы клиентам компании, продукты и сервисы «Лаборатории» не скомпрометированы

У меня есть для вас одна плохая и несколько хороших новостей.

Плохая новость

Плохая новость заключается в том, что мы обнаружили таргетированную атаку на нашу внутреннюю корпоративную сеть. Злоумышленники создали инновационную вредоносную киберплатформу и использовали несколько уязвимостей нулевого дня. Мы практически уверены, что за этой атакой скрывается государственная спецслужба. Мы назвали эту атаку Duqu 2.0. По этой ссылке можно прочитать, почему мы выбрали это название и как эта платформа связана со старой Duqu.

duqu2_w

Хорошая новость № 1: мы нашли черную кошку в темной комнате

Первая хорошая новость состоит в том, что в данном случае мы смогли обнаружить очень продвинутую и крайне скрытную зловредную программу. Разработка и эксплуатация этой платформы требует продолжительной работы высококлассных программистов, и ее общая стоимость должна быть просто колоссальной. Концептуально эта платформа опережает все, что мы видели раньше, на целое поколение. Этот зловред использует ряд уловок, благодаря которым его предельно сложно обнаружить, а затем нейтрализовать. Есть ощущение, что операторы Duqu 2.0 были убеждены, что обнаружить эту шпионскую программу невозможно в принципе. Однако мы это смогли сделать с помощью прототипа нашего Anti-APT-решения, которое мы разрабатываем специально для выявления сложных таргетированных атак.

Хорошая новость № 2: наши клиенты в безопасности

Самое главное для нас — что ни наши продукты, ни наши сервисы не были скомпрометированы. Поэтому эта шпионская атака не несет никаких рисков для наших клиентов.

Подробности атаки

Злоумышленники были заинтересованы в наших технологиях, особенно это касается нашей безопасной операционной системы, системы защиты финансовых транзакций Kaspersky Fraud Prevention, облачной системы безопасности Kaspersky Security Network, того самого решения для таргетированных атак Anti-APT, а также наших сервисов. Негодяи также хотели получить доступ к нашим текущим расследованиям и представление о наших методах выявления вредоносных программ и о наших аналитических инструментах. Поскольку мы известны в отрасли, в частности, за наши успехи в расследовании сложных кибератак, они искали информацию, которая помогла бы им избегать обнаружения в долгосрочной перспективе. Вышло по-другому.

Шпионская атака на нашу компанию выглядит не очень разумным шагом: злоумышленники фактически потеряли очень дорогую и технологически продвинутую платформу, которую они разрабатывали в течение нескольких лет. Кроме того, они пытались получить шпионский доступ к нашим технологиям, которые мы предлагаем нашим партнерам для лицензирования (по крайней мере, некоторые из них)!

Кроме прочего мы обнаружили, что злоумышленники также использовали эту платформу, чтобы шпионить за высокопоставленными целями, включая участников международных переговоров по иранской ядерной программе и участников памятных мероприятий по поводу 70-й годовщины освобождения Освенцима. Наше внутреннее расследование еще не закончено, но мы уверены, что у этой группировки были и другие цели во многих странах мира. Я также думаю, что после того, как мы обнаружили Duqu 2.0, злоумышленники постарались уничтожить любые следы своего доступа к зараженным сетям, чтобы предотвратить разоблачение.

#Duqu 2.0 использовалась для шпионажа за иранскими ядерными переговорами, за церемонией 70-летия освобождения Освенцима и другими целями

Мы же в свою очередь используем эту атаку для улучшения наших технологий. Новое знание всегда полезно, и чем больше нам известно о киберугрозах, тем лучшую защиту мы можем разработать. И, конечно же, мы уже добавили алгоритмы обнаружения Duqu 2.0 в наши продукты. Так что в общем и целом все это не такие уж и плохие новости.

Наше расследование еще не закончено, оно будет продолжаться еще несколько недель, и будут появляться новые подробности. Однако мы уже проверили целостность исходного кода наших продуктов и сервисов и убедились, что никаких изменений внесено не было. Мы можем подтвердить, что наши вирусные базы данных никак не пострадали и взломщики не получили доступа к какой-либо информации, связанной с нашими клиентами.

На данном этапе этой истории вы можете задать вопрос: а зачем мы, собственно, публикуем информацию об этой атаке и не боимся ли мы, что пострадает репутация нашей компании?

Во-первых, если бы мы решили не раскрывать эту информацию, это означало бы, что мы фактически помогаем взломщикам в будущем безнаказанно влезать туда, куда им не положено. Мы очень хорошо разбираемся в таргетированных атаках и понимаем, что не стоит стыдиться, если стал их жертвой, они могут произойти с кем угодно. В нашей отрасли есть старая грустная шутка, что компании делятся на тех, кого уже хакнули, и тех, кто не знает, что их уже хакнули. В реальности все, пожалуй, не так плохо, но в каждой шутке есть доля не только шутки. Делая информацию об этой атаке публичной мы: а) хотим инициировать публичную дискуссию на тему оправданности ситуации, в которой государство организует хакерскую атаку на частную компанию, занимающуюся ИТ-безопасностью; б) мы делимся нашим новым знанием с сообществом профессионалов в нашей отрасли, а также с коммерческими компаниями, правоохранительными органами и международными организациями по всему миру с целью минимизировать вред от этой вредоносной платформы. Если это означает ущерб нашей репутации, то мне все равно. Мы спасаем мир, приходится идти ради этого на жертвы.

Кто стоит за этой атакой? Какая страна?

Я говорил это не раз и готов повторить снова: мы не занимаемся атрибуцией кибератак. Мы специалисты в области безопасности, причем лучшие в своей сфере, и мы всегда вне политики. При этом мы сторонники ответственного раскрытия информации, поэтому мы подали заявления в правоохранительные органы нескольких стран с целью инициировать заведение уголовных дел. Мы также уведомили Microsoft об уязвимости нулевого дня, которую они уже пропатчили (не забудьте установить обновление).

Я считаю, что каждый должен делать свое дело и тем самым делать наш мир лучше.

В завершение пара слов о том, что меня беспокоит.

Я считаю, что ситуация, в которой возможна атака предположительно правительственной спецслужбы на частную компанию, специализирующуюся на ИТ-безопасности, крайне неприятная. Для всего человечества целью должен быть безопасный и удобный кибермир. Мы делимся данными о киберугрозах с правоохранительными органами огромного количества стран, мы помогаем бороться с киберпреступностью по всему миру, мы оказываем помощь в расследованиях киберинцидентов. В конце концов, мы учим полицейских, как вести такие расследования. А в данном случае мы видим, как (скорее всего) государство финансирует спецслужбы, которые вместо того, чтобы делать мир лучше, плюют на закон, профессиональную этику и обычный здравый смысл.

Живущим в стеклянном доме не следует бросаться камнями

Для меня это еще один сигнал, что нам нужны общие разделяемые всеми правила, которые будут соблюдаться всеми странами и которые бы ограничили масштаб цифрового шпионажа и могли бы предотвратить кибервойны. Если какие-то группировки, включая имеющие государственную поддержку, будут продолжать вести себя в Интернете так, как будто это этакий цифровой Дикий Запад, пространство, где никакие правила не действуют, где нет никакой ответственности, это будет означать очень серьезную угрозу глобальному прогрессу информационных технологий. И я еще раз призываю все ответственные страны договориться о таких правилах и совместно бороться с киберпреступностью, а не распространять вредоносные программы.

Советы