Meses atrás Kaspersky Lab detectó una ciberintrusión que afectó a varios de sus sistemas internos. A raíz de este hallazgo, la compañía puso en marcha una investigación que llevó al descubrimiento de una nueva plataforma de malware del tipo APT (ataques avanzados persistentes) denominada Duqu.
Según el informe de Kaspersky Lab, los ciberatacantes estaban muy seguros de que era imposible descubrir el ataque, ya que incluía algunas características únicas que apenas dejaban rastros. El ataque explota vulnerabilidades zero-day y tras la elevación a privilegios a nivel de administrador de dominio, el malware se propaga en la red a través de la instalación de paquetes MSI (Microsoft Software Installer), que son los archivos que los administradores de sistemas utilizan habitualmente para instalar software en equipos Windows en remoto. El ciberataque no realizaba cambios en el disco o en la configuración del sistema, lo que hacía muy difícil la detección.
Los analistas de la empresa rusa de Seguridad Informática descubrieron que sus sistemas no eran el único objetivo y encontraron otras víctimas en países occidentales, así como en Oriente Medio y Asia.
Kaspersky Lab realizó una auditoría de seguridad inicial y un análisis del ataque. La auditoría incluyó la verificación del código fuente y la comprobación de la infraestructura corporativa. La auditoría todavía está en curso y se completará en unas pocas semanas. Además del robo de propiedad intelectual, no se detectaron otros indicadores de actividad maliciosa. El análisis reveló que el principal objetivo de los atacantes era espiar las tecnologías de Kaspersky Lab, las investigaciones en curso y procesos internos. La empresa asegura que no se detectó interferencia con procesos o sistemas.
“Los ciberdelincuentes que están detrás de Duqu 2.0 son uno de los grupos de APT más hábiles y potentes. Hicieron todo lo posible por mantenerse fuera del radar”, afirmó Costin Raiu, director del Global Research and Analysis Team de Kaspersky Lab. “Este ataque altamente sofisticado utiliza hasta tres exploits zero-day, algo muy sorprendente ya que los costos deben ser muy elevados. Para mantenerse oculto, el malware reside sólo en la memoria de kernel, por lo que las soluciones antimalware podían tener problemas para detectarlo. Tampoco se conecta directamente a un servidor de comando y control para recibir instrucciones. En lugar de ello, los atacantes infectaron gateways de red y servidores de seguridad mediante la instalación de drivers maliciosos que dirigieron todo el tráfico de la red interna a los servidores de comando y control de los atacantes”.
