Los
Laboratorios Kaspersky han publicado un aviso en el que reconocen
haber sufrido un ataque dirigido, de igual forma confirman que ninguno de
sus productos, servicios o clientes se han visto afectados. Sin embargo, los
datos detrás del ataque resultan de lo más interesantes.
Las empresas de seguridad siempre
están (estamos) en el punto de mira de los atacantes. Bien por el prestigio que
puede dar la publicidad del ataque, la información obtenida, o conocer
debilidades de otros posibles objetivos; el ataque a una empresa de seguridad
resulta ser un objetivo muy suculento para un atacante.
Esto parece ser lo que le ha
ocurrido a Kaspersky, han sufrido un ataque avanzado sobre sus sistemas internos.
Según la firma, el ataque es sumamente avanzado y desarrollado, lo que junto
con algunas similitudes en el código ha hecho que este ataque, el malware y su
plataforma asociada, quede bautizado como Duqu 2.0.
Evidentemente, una de las cosas
que Kaspersky quiere dejar, y deja, bien claro, es que ninguno de sus productos
se ha visto comprometido, y que sus clientes no se enfrentan a ningún riesgo
causado por este ataque.
"Ya hemos comprobado que el código fuente de nuestros productos está intacto. Podemos confirmar que nuestras bases de datos de malware no se han visto afectadas, y que los atacantes no han tenido acceso a los datos de nuestros clientes."
Pero detrás de Duqu 2.0, se
esconde "algo realmente
grande", según confirman este malware está una generación por
delante de todo lo visto hasta ahora, además de utilizar una serie de trucos
que hacen que sea muy difícil de detectar y neutralizar.
Las investigaciones de Kasperky
han relacionado las nuevas infecciones de este malware con eventos y lugares del
P5+1,
un grupo de seis potencias mundiales con especial interés en el programa
nuclear iraní y las negociaciones sobre un acuerdo nuclear con este país. El
P5+1 está formado por los cinco miembros permanentes del Consejo de Seguridad
de la ONU, Estados Unidos, Rusia, China, Reino Unido y Francia, además de
Alemania. De igual forma, Duqu 2,0 también habría lanzado un ataque similar en
relación con el evento del 70 aniversario de la liberación de
Auschwitz-Birkenau. Kaspersky ha encontrado víctimas de Duqu 2.0 en diferentes lugares,
incluidos los países occidentales, Oriente Medio y Asia.
Lo avanzado del ataque, la
cantidad de recursos necesarios para su desarrollo y puesta en marcha, así como
los objetivos hacen pensar que, sin duda, detrás de esto se encuentra un país, ¿Cuál?
Eso está todavía por descubrir. Y Kaspersky, que confirma que aun investiga más
datos sobre el ataque, no adelanta ninguna información al respecto.
Por otra parte hay que agradecer
a Kasperky el reconocer el ataque, y comunicarlo de forma adecuada, así como presentar
un
completo informe sobre el malware y su plataforma digno de estudio.
 |
| Algunas similitudes encontradas entre las versiones de Duqu. En este caso, los mismos números únicos pasados como parámetros, a la función de logging. |
El vector inicial del ataque
todavía se desconoce, aunque sospechan que posiblemente haya sido a través de correos
de spear-phishing (phishings específicamente dirigidos y construidos para un
objetivo concreto). Lo que sí se ha confirmado es el uso de varios exploits
0day para su introducción en los sistemas.
En 2011, el ataque original deDuqu empleaba una vulnerabilidad día cero en Word (CVE-2011-3402), un exploit
que permitía a los atacantes saltar al modo kernel desde un documento Word. En
2014 se detectó una técnica muy similar, también con exploit día cero (CVE-2014-4148),
contra una importante organización internacional. El servidor C&C (Comando
y Control) empleado en este ataque del 2014, así como otros factores, tenían similitudes
con Duqu, aunque la muestra de malware empleada era diferente tanto a Duqu,
como a Duqu 2.0. Según Kaspersky todo indica que este 0day (CVE-2014-4148), parcheado
por Microsoft en noviembre de 2014, fuera el empleado para instalar Duqu 2.0.
Si bien, para el caso del ataque
a Kaspersky Lab, el ataque se aprovechó
de otro día cero (CVE-2015-2360) sobre el kernel de Windows, parcheada
por Microsoft este pasado martes (en el boletín MS15-061) y
posiblemente hasta otras dos vulnerabilidades diferentes, actualmente corregidas,
pero que también fueron día cero en su momento.
Sin duda, los atacantes
cometieron un error al atacar a una firma de seguridad como Kaspersky, ¿qué
otros objetivos similares habrán tenido? Al atacar a Kaspersky los atacantes
estaban interesados en aprender sobre las tecnologías de seguridad, y los
productos antivirus de la firma. Buscaban información para conseguir permanecer
más tiempo ocultos sin que los objetivos atacados se percataran de ello. Ese
fue su error.
Aparte del análisis técnico delmalware, resulta también interesante y
digno de destacar el análisis que el propio Eugene kaspersky realiza sobre los
motivos sobre la revelación del ataque.
"En primer lugar, no revelarlo sería como no informar a la policía de un accidente de tráfico con víctimas porque pueda afectar tu historial. Además, conocemos la anatomía de los ataques dirigidos suficientemente bien como para entender que no hay nada de qué avergonzarse en la divulgación de este tipo de ataques, esto le puede pasar a cualquiera. (Recuerda, sólo hay dos tipos de empresas: las que han sido atacadas y los que no saben que han sido atacadas). Al revelar el ataque: (i) enviamos una señal al público y cuestionamos la validez y la moralidad de los ataques que creemos orquestados por un Estado contra el negocio privado en general, y las empresas de seguridad, en particular; (ii) compartimos nuestros conocimientos con otras empresas para ayudarles a proteger sus activos. Si esto daña nuestra ‘reputación’, no nos importa. Nuestra misión es salvar el mundo, y esto no admite concesiones."
Más información:
P5+1 Negotiations with Iran
Kaspersky Lab investiga un ataque
hacker a su propio sistema
The Mystery of Duqu 2.0: a sophisticated
cyberespionage actor returns
The duqu 2.0
Technical Details
una-al-dia (19/10/2011) Duqu, ¿el
nuevo malware descendiente de Stuxnet?
una-al-dia (02/11/2011) Duqu, más
información y algunas dudas
una-al-dia (04/11/2011) Microsoft
da detalles sobre el 0 day que aprovecha Duqu: Cómo protegerse
una-al-dia (09/06/2015) Microsoft
publica ocho boletines de seguridad
Antonio Ropero
Twitter: @aropero
