A principios de la primavera de 2015, Kaspersky Lab detectó una ciberintrusión que afectaba a varios de sus sistemas internos. A raíz de este hallazgo, la compañía puso en marcha una investigación que llevó al descubrimiento de una nueva plataforma de malware de uno de los actores más hábiles, misteriosos y poderosos del mundo APT (ataques avanzados persistentes): Duqu.
En opinión de Kaspersky Lab, los ciberatacantes estaban muy seguros de que era imposible descubrir el ataque, ya que incluía algunas características únicas e invisibles para que apenas dejan rastro. El ataque explota vulnerabilidades zero-day y tras la elevación a privilegios de administrador de dominio, el malware se propaga en la red a través de la instalación de paquetes MSI (Microsoft Software Installer), que son los archivos que los administradores de sistemas utilizan habitualmente para instalar software en equipos Windows en remoto. El ciberataque no realizaba cambios en el disco o en la configuración del sistema, lo que hacía muy difícil la detección. “La filosofía y la forma de pensar del grupo ‘Duqu 2.0’ nos muestra una generación más avanzada, que va por delante de todo lo visto en el mundo APT”, comenta Kaspersky.
Los analistas de Kaspersky Lab descubrieron que la empresa no era el único objetivo de este poderoso actor. “Se han encontrado otras víctimas en países occidentales, así como en países de Oriente Medio y Asia. En particular, algunas de las nuevas infecciones entre 2014-2015 están vinculadas a los eventos P5+1 y lugares relacionados con las negociaciones con Irán sobre un acuerdo nuclear. El actor que está detrás de Duqu parece haber lanzado ataques en los lugares donde se produjeron estas negociaciones. Además de los eventos P5+1, el grupo Duqu 2.0 lanzó un ataque similar relacionado con el 70 aniversario de la liberación de Auschwitz-Birkenau. A estas reuniones asistieron muchos dignatarios y políticos extranjeros”, indica Kaspersky.
Kaspersky Lab realizó una auditoría de seguridad inicial y un análisis del ataque. La auditoría incluyó la verificación del código fuente y la comprobación de la infraestructura corporativa. La auditoría está todavía en curso y se completará en unas pocas semanas. Además del robo de propiedad intelectual, no se detectaron otros indicadores de actividad maliciosa. El análisis reveló que el principal objetivo de los atacantes era espiar las tecnologías de Kaspersky Lab, la investigación en curso y procesos internos. Kaspersky asegura que no se detectó interferencia con procesos o sistemas.
“Los ciberdelincuentes que están detrás de Duqu son uno de los grupos de APT más hábiles y potentes. Hicieron todo lo posible por mantenerse fuera del radar”, afirma Costin Raiu, director del Global Research and Analysis Team de Kaspersky Lab. “Este ataque altamente sofisticado utiliza hasta tres exploits zero-day, algo muy sorprendente ya que los costes deben ser muy elevados. Para mantenerse oculto, el malware reside sólo en la memoria de kernel, por lo que las soluciones anti-malware podían tener problemas para detectarlo. Tampoco se conecta directamente a un servidor de comando y control para recibir instrucciones. En lugar de ello, los atacantes infectaron pasarelas de red y servidores de seguridad mediante la instalación de drivers maliciosos que dirigieron todo el tráfico de la red interna a los servidores de comando y control de los atacantes”.
En un comunicado, Kaspersky Lab garantiza que sus clientes y partners están seguros y que no hay impacto en los productos, tecnologías y servicios de la compañía.
Más información sobre el incidente y el malware Duqu 2.0 en el sitio de Kaspersky Lab.
