Hlavní navigace

Kaspersky lab napadli hackeři, kompromitovali firemní systémy

 Autor: Isifa
Daniel Dočekal 15. 6. 2015

Až tři doposud neznámé techniky byly použity k úspěšné kompromitaci počítačových systémů Kaspersky Lab. Na světě je Duqu 2.0.

Možná to staré rčení znáte, možná jste ho slyšeli v jedné takřka legendární scifi. „Shit happens“ totiž platí takřka univerzálně, v tomto případě se to špatné stalo Kaspersky Lab. Útok hackerů na počítačové systémy byl úspěšný a došlo ke kompromitaci.

Kaspersky Lab uvádějí, že útok byl komplexní, skrytý a využíval několik 0day zranitelností. Navíc za ním údajně stojí nejmenovaná vláda. Po zjištění a zmapování útok získal i jméno – Duqu 2.0, tedy druhá generace známého Duqu, který ale do světa vyrazil už někdy v roce 2011. A u kterého se předpokládalo, že jej původní tvůrci opustili a v pozdějších letech se vrátil pouze v rukou některých dalších útočníků.

Útok na počítače v Kaspersky Lab využíval 0day zranitelnost v jádře Windows (CVE-2015–2360) a velmi pravděpodobně až další dvě doposud neopravené zranitelnosti, které fungovaly jako 0day v době útoku. Cílem útoku mělo být proniknutí do systémů Kasperky Lab a špionáž – technologická, ale i co se výzkumů a interních procesů týče. Případné detaily je možné najít v The Duqu 2.0 – Technical Details (PDF).

Mimo pevné disky

Útok začal zacílením na zaměstnance v jedné z menších kanceláří společnosti, pravděpodobně s pomocí e-mailu. Po úspěšném napadení počítače následovalo klasické zkoumání prostředí – opět s využitím 0day (CVE-2014–6324) – a získáním správcových práv k doméně a následnému infikování dalších počítačů. Tam už je to vcelku jednoduché, protože stačí připravit MSI balíčky a nasadit je na další stroje s pomocí klasického MSIEXEC.EXE. Vlastní instalovaný software už ale zdaleka tak triviální není, používá několik způsobů šifrování a různé techniky znesnadňující objevení.

Výsledkem je napadený počítač, kde je k dispozici vzdálený backdoor o poměrně malé paměťové velikosti, a také kompletní platforma pro špionáž s podstatně většími nároky na paměť. To vše šířené periodicky doménovými řadiči a schopné využít pokročilé možností pluginů, které mohou dodávat další potřebné funkčnosti. Špionážní funkce zahrnují řadu možností – snímání klávesnice, práci se soubory, přístup do databází, záznamy provozu na síti a řadu dalších možností.

Další zajímavostí u Duqu 2.0 je, že malware žije hlavně v paměti počítačů a využívá k tomu prioritně systémů, u kterých je jasné, že fungují dlouhodobě a bez vypínání či restartů. Tyto systémy pak následně infikují další počítače v síti. Neukládat data na disky je jednou z cest, jak se vyhnout možné detekci. Nevýhoda, kterou by přineslo například náhlé vypnutí všech počítačů, je eliminována instalováním ovladačů do malého množství počítačů, které mají přímou internetovou konektivitu. Tyto počítače pak slouží pro tunelování z internetu do vnitřní sítě.

Podstatnou součástí je klasický C&C (Command and Control) mechanismus umožňující vzniklou síť kompromitovaných počítačů řídit – u Duqu je zajímavé, že řídící data jsou přenášeny jako součást jinak neškodných souborů – u verze z roku 2011 šlo o JPEG, v novějších verzích je to navíc ještě GIF.

Útok sice úspěšný, nic víc se nepodařilo

Vraťme se ale zpět k úspěšné kompromitaci počítačů a sítě v Kaspersky Lab. Tu se podařilo odhalit, částečně i prostřednictvím nově vyvíjených bezpečnostních řešení. Jakkoliv se útočníkům podařilo dostat dovnitř, nic dalšího podstatného se jim podle firmy provést nepovedlo – žádné produkty ani služby nebyly kompromitovány.

Zkoumání a vyšetřování stále probíhá, pro Kaspersky Lab může být odhalení útoku a získání technologií k němu použitých nakonec i poměrně užitečnou událostí. Firma dostala do rukou kompletní útočný arzenál a může zlepšit detekční i ochranné mechanismy.

Objevené 0day bylo nahlášeno Microsoftu, ten už je opravil. Odkud útok pocházel, Kaspersky Lab nezveřejní, ale říkají, že v několika zemích předali informace příslušným orgánům, aby bylo možné zahájit tamní šetření.

Našli jste v článku chybu?
DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Podnikatel.cz: Změny v daních z příjmů u zaměstnávání

Změny v daních z příjmů u zaměstnávání

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Podnikatel.cz: Prodává přes internet. Kdy platí zdravotko?

Prodává přes internet. Kdy platí zdravotko?

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?