jueves, 11 de junio de 2015

Kaspersky reconoce un ataque sobre sus sistemas

Los Laboratorios Kaspersky han publicado un aviso en el que reconocen haber sufrido un ataque dirigido, de igual forma confirman que ninguno de sus productos, servicios o clientes se han visto afectados. Sin embargo, los datos detrás del ataque resultan de lo más interesantes.

Las empresas de seguridad siempre están (estamos) en el punto de mira de los atacantes. Bien por el prestigio que puede dar la publicidad del ataque, la información obtenida, o conocer debilidades de otros posibles objetivos; el ataque a una empresa de seguridad resulta ser un objetivo muy suculento para un atacante.

Esto parece ser lo que le ha ocurrido a Kaspersky, han sufrido un ataque avanzado sobre sus sistemas internos. Según la firma, el ataque es sumamente avanzado y desarrollado, lo que junto con algunas similitudes en el código ha hecho que este ataque, el malware y su plataforma asociada, quede bautizado como Duqu 2.0.

Evidentemente, una de las cosas que Kaspersky quiere dejar, y deja, bien claro, es que ninguno de sus productos se ha visto comprometido, y que sus clientes no se enfrentan a ningún riesgo causado por este ataque.

"Ya hemos comprobado que el código fuente de nuestros productos está intacto. Podemos confirmar que nuestras bases de datos de malware no se han visto afectadas, y que los atacantes no han tenido acceso a los datos de nuestros clientes."

Pero detrás de Duqu 2.0, se esconde "algo realmente grande", según confirman este malware está una generación por delante de todo lo visto hasta ahora, además de utilizar una serie de trucos que hacen que sea muy difícil de detectar y neutralizar.

Las investigaciones de Kasperky han relacionado las nuevas infecciones de este malware con eventos y lugares del P5+1, un grupo de seis potencias mundiales con especial interés en el programa nuclear iraní y las negociaciones sobre un acuerdo nuclear con este país. El P5+1 está formado por los cinco miembros permanentes del Consejo de Seguridad de la ONU, Estados Unidos, Rusia, China, Reino Unido y Francia, además de Alemania. De igual forma, Duqu 2,0 también habría lanzado un ataque similar en relación con el evento del 70 aniversario de la liberación de Auschwitz-Birkenau. Kaspersky ha encontrado víctimas de Duqu 2.0 en diferentes lugares, incluidos los países occidentales, Oriente Medio y Asia.

Lo avanzado del ataque, la cantidad de recursos necesarios para su desarrollo y puesta en marcha, así como los objetivos hacen pensar que, sin duda, detrás de esto se encuentra un país, ¿Cuál? Eso está todavía por descubrir. Y Kaspersky, que confirma que aun investiga más datos sobre el ataque, no adelanta ninguna información al respecto.

Por otra parte hay que agradecer a Kasperky el reconocer el ataque, y comunicarlo de forma adecuada, así como presentar un completo informe sobre el malware y su plataforma digno de estudio.

Algunas similitudes encontradas entre las versiones de Duqu.
En este caso, los mismos números únicos pasados como
parámetros, a la función de logging.
El vector inicial del ataque todavía se desconoce, aunque sospechan que posiblemente haya sido a través de correos de spear-phishing (phishings específicamente dirigidos y construidos para un objetivo concreto). Lo que sí se ha confirmado es el uso de varios exploits 0day para su introducción en los sistemas.

En 2011, el ataque original deDuqu empleaba una vulnerabilidad día cero en Word (CVE-2011-3402), un exploit que permitía a los atacantes saltar al modo kernel desde un documento Word. En 2014 se detectó una técnica muy similar, también con exploit día cero (CVE-2014-4148), contra una importante organización internacional. El servidor C&C (Comando y Control) empleado en este ataque del 2014, así como otros factores, tenían similitudes con Duqu, aunque la muestra de malware empleada era diferente tanto a Duqu, como a Duqu 2.0. Según Kaspersky todo indica que este 0day (CVE-2014-4148), parcheado por Microsoft en noviembre de 2014, fuera el empleado para instalar Duqu 2.0.

Si bien, para el caso del ataque a Kaspersky Lab, el ataque se aprovechó de otro día cero (CVE-2015-2360) sobre el kernel de Windows, parcheada por Microsoft este pasado martes (en el boletín MS15-061) y posiblemente hasta otras dos vulnerabilidades diferentes, actualmente corregidas, pero que también fueron día cero en su momento.

Sin duda, los atacantes cometieron un error al atacar a una firma de seguridad como Kaspersky, ¿qué otros objetivos similares habrán tenido? Al atacar a Kaspersky los atacantes estaban interesados en aprender sobre las tecnologías de seguridad, y los productos antivirus de la firma. Buscaban información para conseguir permanecer más tiempo ocultos sin que los objetivos atacados se percataran de ello. Ese fue su error.

Aparte del análisis técnico delmalware, resulta también interesante y digno de destacar el análisis que el propio Eugene kaspersky realiza sobre los motivos sobre la revelación del ataque.
"En primer lugar, no revelarlo sería como no informar a la policía de un accidente de tráfico con víctimas porque pueda afectar tu historial. Además, conocemos la anatomía de los ataques dirigidos suficientemente bien como para entender que no hay nada de qué avergonzarse en la divulgación de este tipo de ataques, esto le puede pasar a cualquiera. (Recuerda, sólo hay dos tipos de empresas: las que han sido atacadas y los que no saben que han sido atacadas). Al revelar el ataque: (i) enviamos una señal al público y cuestionamos la validez y la moralidad de los ataques que creemos orquestados por un Estado contra el negocio privado en general, y las empresas de seguridad, en particular; (ii) compartimos nuestros conocimientos con otras empresas para ayudarles a proteger sus activos. Si esto daña nuestra ‘reputación’, no nos importa. Nuestra misión es salvar el mundo, y esto no admite concesiones."

Más información:

P5+1 Negotiations with Iran

Kaspersky Lab investiga un ataque hacker a su propio sistema

The Mystery of Duqu 2.0: a sophisticated cyberespionage actor returns

The duqu 2.0
Technical Details

una-al-dia (19/10/2011) Duqu, ¿el nuevo malware descendiente de Stuxnet?

una-al-dia (02/11/2011) Duqu, más información y algunas dudas

una-al-dia (04/11/2011) Microsoft da detalles sobre el 0 day que aprovecha Duqu: Cómo protegerse

una-al-dia (09/06/2015) Microsoft publica ocho boletines de seguridad


Antonio Ropero
Twitter: @aropero

3 comentarios:

  1. Pocas personas en el mundo sabrán esa información, y cortarán las cabezas que sean necesarias para que no se descubra todo. No me extrañaría que ocurriese algún accidente o algún alto cargo de alguna empresa o gobierno, muriese en extrañas circunstancias.

    ResponderEliminar
  2. Muy bueno el detalle de Kaspersky informando a todos.
    Por lo menos, sabemos que siempre se cuece algo.
    Y gracias a vosotros por vuestra labor.

    ResponderEliminar