Hlavní navigace

Kaspersky lab napadli hackeři, kompromitovali firemní systémy

 Autor: Isifa
Daniel Dočekal 15. 6. 2015

Až tři doposud neznámé techniky byly použity k úspěšné kompromitaci počítačových systémů Kaspersky Lab. Na světě je Duqu 2.0.

Možná to staré rčení znáte, možná jste ho slyšeli v jedné takřka legendární scifi. „Shit happens“ totiž platí takřka univerzálně, v tomto případě se to špatné stalo Kaspersky Lab. Útok hackerů na počítačové systémy byl úspěšný a došlo ke kompromitaci.

Kaspersky Lab uvádějí, že útok byl komplexní, skrytý a využíval několik 0day zranitelností. Navíc za ním údajně stojí nejmenovaná vláda. Po zjištění a zmapování útok získal i jméno – Duqu 2.0, tedy druhá generace známého Duqu, který ale do světa vyrazil už někdy v roce 2011. A u kterého se předpokládalo, že jej původní tvůrci opustili a v pozdějších letech se vrátil pouze v rukou některých dalších útočníků.

Útok na počítače v Kaspersky Lab využíval 0day zranitelnost v jádře Windows (CVE-2015–2360) a velmi pravděpodobně až další dvě doposud neopravené zranitelnosti, které fungovaly jako 0day v době útoku. Cílem útoku mělo být proniknutí do systémů Kasperky Lab a špionáž – technologická, ale i co se výzkumů a interních procesů týče. Případné detaily je možné najít v The Duqu 2.0 – Technical Details (PDF).

Mimo pevné disky

Útok začal zacílením na zaměstnance v jedné z menších kanceláří společnosti, pravděpodobně s pomocí e-mailu. Po úspěšném napadení počítače následovalo klasické zkoumání prostředí – opět s využitím 0day (CVE-2014–6324) – a získáním správcových práv k doméně a následnému infikování dalších počítačů. Tam už je to vcelku jednoduché, protože stačí připravit MSI balíčky a nasadit je na další stroje s pomocí klasického MSIEXEC.EXE. Vlastní instalovaný software už ale zdaleka tak triviální není, používá několik způsobů šifrování a různé techniky znesnadňující objevení.

Výsledkem je napadený počítač, kde je k dispozici vzdálený backdoor o poměrně malé paměťové velikosti, a také kompletní platforma pro špionáž s podstatně většími nároky na paměť. To vše šířené periodicky doménovými řadiči a schopné využít pokročilé možností pluginů, které mohou dodávat další potřebné funkčnosti. Špionážní funkce zahrnují řadu možností – snímání klávesnice, práci se soubory, přístup do databází, záznamy provozu na síti a řadu dalších možností.

Další zajímavostí u Duqu 2.0 je, že malware žije hlavně v paměti počítačů a využívá k tomu prioritně systémů, u kterých je jasné, že fungují dlouhodobě a bez vypínání či restartů. Tyto systémy pak následně infikují další počítače v síti. Neukládat data na disky je jednou z cest, jak se vyhnout možné detekci. Nevýhoda, kterou by přineslo například náhlé vypnutí všech počítačů, je eliminována instalováním ovladačů do malého množství počítačů, které mají přímou internetovou konektivitu. Tyto počítače pak slouží pro tunelování z internetu do vnitřní sítě.

Podstatnou součástí je klasický C&C (Command and Control) mechanismus umožňující vzniklou síť kompromitovaných počítačů řídit – u Duqu je zajímavé, že řídící data jsou přenášeny jako součást jinak neškodných souborů – u verze z roku 2011 šlo o JPEG, v novějších verzích je to navíc ještě GIF.

Útok sice úspěšný, nic víc se nepodařilo

Vraťme se ale zpět k úspěšné kompromitaci počítačů a sítě v Kaspersky Lab. Tu se podařilo odhalit, částečně i prostřednictvím nově vyvíjených bezpečnostních řešení. Jakkoliv se útočníkům podařilo dostat dovnitř, nic dalšího podstatného se jim podle firmy provést nepovedlo – žádné produkty ani služby nebyly kompromitovány.

EBF16

Zkoumání a vyšetřování stále probíhá, pro Kaspersky Lab může být odhalení útoku a získání technologií k němu použitých nakonec i poměrně užitečnou událostí. Firma dostala do rukou kompletní útočný arzenál a může zlepšit detekční i ochranné mechanismy.

Objevené 0day bylo nahlášeno Microsoftu, ten už je opravil. Odkud útok pocházel, Kaspersky Lab nezveřejní, ale říkají, že v několika zemích předali informace příslušným orgánům, aby bylo možné zahájit tamní šetření.

Našli jste v článku chybu?
Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

Měšec.cz: „Ukradli“ jsme peníze z bezkontaktních karet

„Ukradli“ jsme peníze z bezkontaktních karet

DigiZone.cz: Nejnovější špičkové TV ve videu

Nejnovější špičkové TV ve videu

Vitalia.cz: Fyzioterapeutka: Chůze naboso? Rozhodně ano!

Fyzioterapeutka: Chůze naboso? Rozhodně ano!

Podnikatel.cz: 5 věcí, které o EET ještě nevíte

5 věcí, které o EET ještě nevíte

Vitalia.cz: 7 příčin neplodnosti u žen: pravda a mýty

7 příčin neplodnosti u žen: pravda a mýty

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

120na80.cz: Rodiče, pozor: jak dodat vitamín D bez rizika

Rodiče, pozor: jak dodat vitamín D bez rizika

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

120na80.cz: Galerie: Čínští policisté testují českou minerálku

Galerie: Čínští policisté testují českou minerálku

Vitalia.cz: Tipy: Kde zaručeně koupíte dobré maso

Tipy: Kde zaručeně koupíte dobré maso

Vitalia.cz: Když bílkoviny, tak jíme ty nekvalitní

Když bílkoviny, tak jíme ty nekvalitní

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Vitalia.cz: Antibakteriální mýdla nepomáhají, spíš škodí

Antibakteriální mýdla nepomáhají, spíš škodí

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Lupa.cz: Adblock Plus začal prodávat reklamy

Adblock Plus začal prodávat reklamy