10 ביוני, 2015. בתחילת אביב 2015 גילתה מעבדת קספרסקי פריצות סייבר שהשפיעו על כמה מהמערכות הפנימיות שלה. בעיקבות הגילוי, פתחה החברה בחקירה מקיפה שהביאה לגילויה של פלטפורמה זדונית חדשה של אחד האיומים המשפיעים, החזקים והמסתוריים בעולם ה-APT וריגול הסייבר, ושמו: Duku.
במעבדת קספרסקי מאמינים שהפורצים היו בטוחים שבלתי אפשרי לגלות את מתקפת הסייבר שלהם. במתקפה נכללו מאפיינים מיוחדים שלא נראו מעולם ואשר כמעט שלא השאירו עקבות. המתקפה ניצלה פרצות יום אפס, ולאחר שהסירה הרשאות לניהול דומיין, הקוד הזדוני התפשט ברשת דרך קבצי ה-MSI (Microsoft Software Installer), שבהם משתמשים מנהלי הרשת כדי להתקין תוכנה במחשבי Windows מרוחקים. המתקפה לא השאירה מאחוריה שום קבצים בדיסק ולא שינתה הגדרות מערכת, והדבר גרם לגילוי להיות קשה במיוחד. הפילוסופיה ודרך החשיבה של קבוצת דוקו 2.0 הן דור אחד קדימה מכל מה שנראה עד כה בעולם ה-APT.
חוקרי מעבדת קספרסקי גילו שהחברה לא הייתה המטרה היחידה של איום הסייבר הזה. קרבנות נוספים התגלו במדינות מערביות נוספות, במדינות במזרח התיכון וגם באסיה. יש לציין כי חלק מהמתקפות החדשות של 2014-2015 קשורות לאירועי ומתחמי המשא ומתן עם איראן בנושא הגרעין (P5+1). גורם האיום מאחורי דוקו שיגר מתקפות על אתרי השיחות והפגישות בהם התקיימו שיחות ברמה המדינית הגבוהה. בנוסף לאירועי 5+1P קבוצת דוקו 2.0 פתחה במתקפות דומה כנגד האירוע לזכר 70 שנה לשחרור אושוויץ-בירקנאו. בפגישות אלה נכחו דיפלומטים ופוליטיקאים מכל העולם.
מעבדת קספרסקי ביצעה בקרת אבטחה ראשונית וניתוח של המתקפה. הבקרה כללה אימות קוד מקור ובדיקה של תשתית החברה. הביקורת עדיין נמשכת ותושלם בעוד מספר שבועות. מעבר לגנבה של נכסים בלתי מוחשיים, אין סימן נוסף לפעילות זדונית. הניתוח חשף כי היעד המרכזי של התוקפים היה לרגל אחר טכנולוגיות מעבדת קספרסקי, המחקר המתמשך ותהליכים פנימיים. לא נרשמה הפרעה לתהליכים או מערכות.
סקירת המתקפה
מוקדם יותר בשנת 2015, במהלך מבחן שבוצע, אב טיפוס של פתרון נגד מתקפות APT שפותח על ידי מעבדת קספרסקי הראה סימנים של מתקפה ממוקדת מורכבת על תשתית הרשת הארגונית. לאחר שההתקפה נחשפה החלה חקירה פנימית. צוות של חוקרי החברה, מומחי reverse engineering ואנליסטים של קוד זדוני, עבדו מסביב לשעון כדי לנתח את המתקפה יוצאת הדופן. החברה פרסמה פרטים טכניים אודות Duqu 2.0 ב- Securelist.
מסקנות ראשוניות שפרסמה החברה:
1. המתקפה תוכננה בזהירות והוצאה לפועל על ידי אותה קבוצה שעמדה מאחורי מתקפת ה- Duqu ב- 2011. מעבדת קספרסקי מאמינה כי מדובר בקמפיין בחסות מדינה.
2. מעבדת קפסרסקי מאמינה כי היעד המרכזי של המתקפה היה לאסוף מידע אודות הטכנולוגיות החדשות ביותר של החברה. התוקפים היו מעוניינים במיוחד בפרטים אודות חדשנות במוצרים, כולל מערכת ההפעלה המאובטחת של מעבדת קספרסקי, מניעת הונאות של קספרסקי, ופתרונות ושירותי אבטחת רשת ונגד הונאות. מחלקות שאינן קשורות למחקר ופיתוח (מכירות, שיווק, תקשורת, משפטים) נותרו מחוץ למוקד העניין של התוקפים.
3. המידע שנאסף על ידי התוקפים בשום אופן אינו חיוני לפעילות מוצרי החברה. כשהיא חמושה במידע אודות המתקפה, מעבדת קספרסקי תמשיך לשפר את הביצועים של מערך פתרונות אבטחת ה- IT שלה.
4. התוקפים גם הראו עניין רב בחקירות הנוכחיות שמקיימת מעבדת קפסרסקי לגבי מתקפות מתקדמות ממוקדות. סביר להניח שהם מודעים היטב למוניטין של החברה כאחת מהמתקדמות ביותר בזיהוי ולחימה במתקפות APT מורכבות.
5. נראה שהתוקפים ניצלו עד ל- 3 פרצות יום אפס. הפרצה האחרונה (CVE-2015-2360) נסגרה על ידי מיקרוסופט ב- 9 ביוני, 2015 (MS15-061), לאחר שמומחי קספרסקי דיווחו לגביה.
תוכנת הקוד הזדוני השתמשה בשיטה מתקדמת כדי להסתיר את נוכחותה במערכת: הקוד של Duqu 2.0 קיים רק בזיכרון המחשב ומנסה למחוק כל זכר ממנו בדיסק הקשיח.
התמונה הגדולה
"האנשים מאחורי Duqu הם מהמוכשרים והעוצמתיים ביותר מבין קבוצות ה- APT, והם עשו כל דבר אפשרי כדי להישאר מתחת למכ"מ", אמר קוסטין ראיו, מנהל צוות המחקר והניתוח הבינלאומי של מעבדת קספרסקי. "מתקפה מתוחכמת ביותר זו השתמשה בעד ל- 3 פרצות יום אפס, שזה מרשים ביותר – העלויות היו כנראה מאוד גבוהות. כדי להישאר מוסתר, הקוד הזדוני נשמר רק בזיכרון הקרנל, כך שלפתרונות אנטי קוד זדוני יש בעיה לזהות אותו. הוא גם לא מתחבר ישירות לשרתי פיקוד ושליטה כדי לקבל הוראות. במקום זאת, התוקפים מדביקים את שערי הגישה והפיירוול באמצעות התקנת דרייברים זדוניים, אשר מבצעים פרוקסי של כל התעבורה מהרשת הפנימית אל שרתי הפיקוד והשליטה של התוקפים".
"ריגול אחר חברות אבטחת סייבר היא מגמה מסוכנת מאוד. תוכנת אבטחה היא הקו האחרון של הגנה עבור עסקים ולקוחות בעולם המודרני, והדבר מעמיד ציוד חומרה ורשת בסיכון. יותר מכך, במוקדם או במאוחר, טכנולוגיות שהוטמעו במתקפות ממוקדות דומות ייבחנו וישמשו טרוריסטים ועבריינים מקצועיים. וזהו תרחיש רציני ביותר ואפשרי", אמר יוג'ין קספרסקי, מנכ"ל מעבדת קספרסקי.
"דיווח על אירועים שכאלה היא הדרך היחידה להפוך את העולם למאובטח יותר. הדבר מסייע לשפר את תכנון האבטחה של תשתיות ארגוניות, ושולח מסר ברור למפתחים של הקוד הזדוני: כל הפעילות הבלתי חוקית תיעצר והאחראים יועמדו לדין. הדרך היחידה להגן על העולם היא שרשויות החוק וחברות אבטחה יילחמו במתקפות בצורה פתוחה. אנו תמיד נדווח על מתקפות ללא קשר למקור שלהן", אמר יוג'ין קספרסקי.
מעבדת קספרסקי הודיעה כי החברה תמשיך להגן מפני כל מתקפת סייבר ללא הבחנה. מעבדת קספרסקי מחויבת לפעול למען לקוחותיה ולשמירה על אמונם וביטחונם המלא. החברה בטוחה כי הצעדים שננקטו טיפלו באירוע זה ויסייעו למנוע בעיות דומות מלחזור על עצמן. מעבדת קספרסקי יצרה קשר עם מחלקות סייבר בגופי אכיפת החוק במדינות שונות עם בקשה רשמית לחקירה פלילית של המתקפה.
מעבדת קספרסקי רוצה להדגיש כי אלו הן רק תוצאות ראשוניות של החקירה. אין ספק כי התקפה זו היא רחבה בהרבה מבחינה גיאוגרפית ומקיפה הרבה יותר מטרות. אבל על פי מה שהחברה כבר יודעת, Duqu 2.0 שימש כדי לתקוף טווח מורכב של מטרות ברמות הגבוהות ביותר עם תחומי עניין גיאופוליטיים דומים. כדי למזער את האיום, מעבדת קספרסקי מפרסמת סימנים לפגיעה ורוצה להציע את עזרתה לכל ארגון המעוניין בכך.