Η Ρώσικη εταιρεία ασφαλείας Kaspersky Lab ανακάλυψε πρόσφατα ότι μια ισχυρή και μυστηριώδης ομάδα hackers χρησιμοποιώντας ένα advanced persistent threat (APT) γνωστό σαν Duqu παραβίασε τα συστήματα της, αξιοποιώντας ένα zero-day στο Windows Kernel.
Από το 2012 μέχρι και σήμερα δεν έχει καταγραφεί άλλη δραστηριότητα στον κυβερνοχώρο που σχετίζεται με το Duqu μια πλατφόρμα που χρησιμοποιείται για κυβερνο-κατασκοπεία.
Ωστόσο, οι λοιμώξεις έγιναν από μια νέα έκδοση της πλατφόρμας (που ονομάστηκε Duqu 2). Το νέο κακόβουλο λογισμικό εμφανίστηκε το 2014 και συνεχίζει να υπάρχει μέχρι και σήμερα στις δυτικές χώρες.
Η zero-day ευπάθεια που αξιοποιεί το κακόβουλο λογισμικό είναι η CVE-2015-2360, η οποία έγινε patched από τη Microsoft την Τρίτη που μας πέρασε. Η Kaspersky αναφέρει ότι μια ή δύο ακόμα ευπάθειες έχουν χρησιμοποιηθεί στην επίθεση που έγινε στα συστήματα της.
Οι ερευνητές αναφέρουν ότι η αρχική επίθεση ξεκίνησε σε ένα από τα μικρότερα γραφεία της στην περιοχή της Ασίας και πιθανώς χρησιμοποιήθηκαν spear-phishing emails.
“Τα κακόβουλα modules παρατηρήθηκαν να προσπαθούν να πραγματοποιήσουν επιθέσεις ‘pass the hash' στο τοπικό δίκτυο, δίνοντας ουσιαστικά στους επιτιθέμενους πολλούς διαφορετικούς τρόπους για να πραγματοποιήσουν πλευρική κίνηση,” αναφέρει η Kaspersky Lab.
Εντοπίστηκαν πάνω από 100 παραλλαγές κακόβουλων plugins
Το Duqu 2 χρησιμοποιεί πολλαπλές τακτικές για να εξαπλωθεί στο δίκτυο, και στις περισσότερες περιπτώσεις, η επίθεση πραγματοποιήθηκε με την υποστήριξη του Microsoft Windows Installer (τα πακέτα MSI που μπορούν να τεθούν σε λειτουργία εξ αποστάσεως σε άλλους υπολογιστές).
Τα αρχεία MSI μπορούσαν να φορτώσουν στη μνήμη το ωφέλιμο φορτίο του κακόβουλου λογισμικού και να ανοίξουν backdoors για τους κατασκοπευτικούς σκοπούς των επιτιθέμενων.
Το κύριο module του Duqu 2 υλοποιεί χειρισμούς για την επικοινωνία με το κέντρο διοίκησης και ελέγχου ή C&C server και χρησιμοποιεί πάρα πολλά πρωτόκολλα σύνδεσης μέσω proxy και αυτο-υπογεγραμμένα πιστοποιητικά HTTPS.
Ο σκοπός της επίθεσης στο δίκτυο της Kaspersky Lab φαίνεται να είναι η κατασκοπεία της χρησιμοποιούμενης τεχνολογίας και αυτής που αναπτύχθηκε από την εταιρεία. Η έρευνα όμως συνεχίζεται από ειδικούς ασφαλείας και αργότερα θα γνωρίζουμε περισσότερες λεπτομέρειες.
Η ανάλυση του κακόβουλου λογισμικού έδειξε ότι θα μπορούσε να συλλέξει δεδομένα από τις διεργασίες που εκτελούνται, στην επιφάνεια εργασίας και τα terminal sessions. Αναζητούσε ακόμα, κατέγραφε και έτρεχε αρχεία όπως τα “*.inuse, *.hml,” filename contains “data.hmi” ή “val.dat,” καθώς και το περιεχόμενο από συγκεκριμένους φακέλους.
Η Kaspersky Lab έχει την πεποίθηση ότι η συγκεκριμένη παραβίαση δεν έχει επιπτώσεις στα προϊόντα, τις τεχνολογίες και τις υπηρεσίες της, και ότι οι πελάτες και οι συνεργάτες της είναι ασφαλείς…
