Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Hackers usan nueva versión de Duqu para atacar con éxito a Kaspersky

La firma de seguridad reconoció haber sido víctima de una campaña de malware Duqu 2.0, cuyo objetivo fue el robo de información de la empresa.

Sin importar si el anuncio pudiera afectar su reputación, el CEO de Kaspersky Lab, una de las principales firmas de seguridad de la información, reconoció un ataque dirigido a su empresa. Eugene Kaspersky ofreció una conferencia de prensa en Londres, donde hizo público que hubo una intrusión en sus sistemas, sin que se haya comprometido información de la empresa.

Tras la conferencia del CEO, los laboratorios Kaspersky publicaron un aviso en el que se reconoce este ataque, al tiempo que confirman que ninguno de sus productos, servicios o clientes fueron afectados. "Ya hemos comprobado que el código fuente de nuestros productos está intacto. Podemos confirmar que nuestras bases de datos de malware no se han visto afectadas, y que los atacantes no han tenido acceso a los datos de nuestros clientes”, establece la firma en su comunicado.

En la conferencia de prensa, Eugene Kaspersky calificó el ataque como ‘extremadamente sofisticado’ y aseguró que “es una nueva generación de lo que probablemente es un malware financiado por un Gobierno”, aunque no mencionó a ninguna nación. El CEO advirtió también que espiar a las compañías de ciberseguridad es arriesgado. “Es estúpido atacar a una empresa de ciberseguridad. Tarde o temprano lo descubriremos”, expresó Kaspersky.

Según la firma, el nivel de desarrollo y sofisticación del ataque, así como algunas similitudes en el código del malware y su plataforma asociada, relacionan el ataque al software Duqu 2.0. Este malware es similar al descubierto en 2011 y fue diseñado para espiar las nuevas tecnologías de este proveedor. “Los cibercriminales buscaban encontrar información de las investigaciones de Kaspersky Lab y cómo la empresa detecta y procesa el malware”, explicó el CEO. Agregó que el malware estuvo en sus sistemas por varios meses antes de que fuera detectado, pero una vez descubierto la compañía hizo una revisión profunda y garantizó que la información de ningún cliente o socio fue comprometida.

"Si esto daña nuestra reputación, no nos importa. Nuestra misión es salvar el mundo, y esto no admite concesiones”, explicó Eugene Kaspersky.  “Espiar a compañías de seguridad es una tendencia muy peligrosa. El software de seguridad es la última frontera en la protección de negocios y clientes en el mundo moderno, donde el hardware y equipos de red pueden ser comprometidos. Además, tarde o temprano, las tecnologías implementadas en ataques dirigidos similares pueden ser examinados y utilizados por terroristas y cibercriminales profesionales. Este es un escenario viable y extremadamente serio”, comentó.

El CEO agregó que no revelar el ciberataque en su contra sería como no informar a la policía de un accidente de tráfico con víctimas porque eso podría afectar su historial. Además, “conocemos la anatomía de los ataques dirigidos suficientemente bien como para entender que no hay nada de qué avergonzarse en la divulgación de este tipo de ataques, esto le puede pasar a cualquiera”, aclaró.

Al revelar el ataque, la firma envía una señal al público y cuestiona la validez y la moralidad de los ataques que consideran orquestados por un Estado contra el negocio privado en general, y las empresas de seguridad, en particular. “Reportar este tipo de incidentes es la única manera de hacer al mundo más seguro. Esto ayuda a mejorar el diseño de la seguridad de la infraestructura empresarial y envía una señal directa a los desarrolladores de este malware: todas las operaciones ilegales serán detenidas y enjuiciadas. Nosotros siempre reportaremos los ataques sin importar su origen”, agregó Eugene Kaspersky, en el comunicado de la firma.

Radiografía del malware Duqu 2.0

Resumen del ciberataque

La compañía está revelando todos los detalles técnicos acerca de Duqu 2.0 en Securelist.

  1. El ataque fue planeado y realizado cuidadosamente por el mismo grupo que estaba detrás del famoso ataque de APT Duqu del 2011. Kaspersky Lab cree que esta es una campaña patrocinada por un Estado-nación.
  2. Kaspersky Lab está seguro que el objetivo principal del ataque era obtener información acerca de las tecnologías nuevas de la empresa. Los atacantes estaban especialmente interesados en los detalles de innovación de productos incluyendo el Sistema Operativo de Kaspersky Lab, Kaspersky Fraud Prevention, KSN y soluciones y servicios Anti-APT. Departamentos no pertenecientes a Investigaciones y Desarrollo (ventas, mercadeo, comunicaciones, legal) estaban fuera del interés de los atacantes.
  3. La información obtenida por los atacantes en ninguna manera es crítica para la operación de los productos de la empresa. Kaspersky Lab aprovechará esta experiencia para mejorar el desempeño del portafolio de sus soluciones de seguridad TI.
  4. Los atacantes también mostraron un alto interés en las investigaciones actuales de Kaspersky Lab sobre ataques persistentes avanzados; los atacantes probablemente sabían de la reputación de la empresa como una de las más avanzadas en la detección y contra-arresto de ataques APTs complejos.
  5. Los atacantes parecen haber explotado hasta tres vulnerabilidades de día-cero. El último de estos día-cero (MS15-061) fue parchado por Microsoft el 9 de junio de 2015, después de que expertos de Kaspersky Lab lo reportaran.
  6. El programa malicioso utilizaba un método avanzado para ocultar su presencia en el sistema: el código de Duqu 2.0 solo existe en la memoria de la computadora y trata de borrar todos sus rastros en el disco duro.
  7. Procedimientos de protección contra Duqu 2.0 han sido agregados a los productos de la empresa. Los productos de Kaspersky Lab detectan a esta amenaza como HEUR.Trojan.Win32.Duqu2.gen.

Las investigaciones de Kasperky han relacionado las nuevas infecciones de este malware con eventos y lugares del P5+1, un grupo de seis potencias mundiales con especial interés en el programa nuclear iraní y las negociaciones sobre un acuerdo nuclear con este país. El P5+1 está formado por los cinco miembros permanentes del Consejo de Seguridad de la ONU: Estados Unidos, Rusia, China, Reino Unido y Francia, además de Alemania.

Kaspersky ha encontrado víctimas de Duqu 2.0 en diferentes lugares, incluidos los países occidentales, Oriente Medio y Asia. 

El vector inicial del ataque todavía se desconoce, aunque sospechan que posiblemente haya sido a través de correos de spear-phishing (phishing específicamente construido para un objetivo concreto). Lo que sí se ha confirmado es el uso de varios exploits 0-day para su introducción en los sistemas. 

“Las personas detrás de Duqu están entre los grupos de APTs más hábiles y poderosos e hicieron todo lo posible para tratar de mantenerse bajo el radar”, comentó Costin Raiu, director del Equipo Global de Investigación y Análisis en Kaspersky Lab. “Este ataque altamente sofisticado utilizó hasta tres exploits de día-cero, lo que es impresionante –los costos deben de haber sido muy altos. Para mantenerse ocultos, el malware reside en la memoria kernel para que a las soluciones anti-malware se le dificulte su detección. Tampoco se conecta directamente a un servidor de comando y control para recibir instrucciones. En vez, los atacantes infectan los gateways y firewalls de la red por medio de la instalación de drivers maliciosos que redirigen todo el tráfico de la red interna a los servidores de comando y control de los atacantes”. 

En 2011, el ataque original de Duqu empleaba una vulnerabilidad día cero en Word, un exploit que permitía a los atacantes saltar al modo kernel desde un documento Word. Según Kaspersky todo indica que este 0-day (parcheado por Microsoft en noviembre de 2014) fue utilizado para instalar Duqu 2.0. Si bien, para el caso del ataque a Kaspersky Lab, el ataque se aprovechó de otro día cero sobre el kernel de Windows y posiblemente hasta otras dos vulnerabilidades diferentes. 

Kaspersky Lab cree que los atacantes estaban convencidos de que el ciberataque era imposible de detectar. El ataque incluía varias características únicas y nunca antes vistas y casi no dejaba rastro alguno; el código malicioso es muy evasivo pues no crea ningún archivo en el disco, ni entradas clave. “Se esparce a través de la red, pretendiendo ser un administrador del sistema que actualiza el software en la red”, detalla el comunicado.

Tras explotar vulnerabilidades de día-cero y cambiar los privilegios a administrador de dominio, el malware se propagaba por la red por medio de archivos MSI (Microsoft Software Installer) que son comúnmente utilizados por administradores de sistemas para desplegar software remotamente en computadoras Windows. El ciberataque no dejó ningún archivo de disco o cambió la configuración del sistema, haciendo su detección extremadamente difícil.

Una advertencia a las empresas

Michael Heller, colaborador de nuestra publicación hermana SearchSecurity, charló con Tod Beardsley, gerente de ingeniería de Rapid7 LLC. Beardsley dijo que Duqu 2.0 ha establecido un nuevo estándar para las capacidades de ataques gubernamentales. “Después de revisar el análisis técnico de Kaspersky, es seguro decir que Duqu 2.0 representa lo mejor para las ciber operaciones, a la vez que se establece como la base mínima para estos ataques. Aún con las dudas respecto de si Stuxnet, Duqu y Duqu 2.0 son financiadas, cuentan con las habilidades y las motivaciones geopolíticas de las naciones occidentales, Duqu 2.0 es precisamente lo que debemos esperar de cualquier ofensiva cibernética a nivel Estatal”, comentó.

Beardsley advirtió a las empresas que este nuevo nivel de capacidades ofensivas de un atacante deben ser tomadas como una señal de que la seguridad también debe ser mejorada. “Si no puede defenderse contra una campaña de largo plazo estilo Duqu 2.0, será mejor que no tenga ningún dato o recurso que una ciber organización quiera comprometer. Kaspersky tiene fama de ser una de las organizaciones con más capacidades de detección y defensa, y el hecho de que hayan sido comprometidos es un gran recordatorio de que la brecha entre la ofensiva y la defensiva está, hoy por hoy, más inclinada a favor de los atacantes”, opinó.

Investigue más sobre Protección de datos empresarial

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close