Весной на корпоративную сеть "Лаборатории Касперского" была произведена атака. Расследование показало, что виной тому новая вредоносная платформа, имеющая непосредственное отношение к одной из самых сложных кампаний кибершпионажа - Duqu, раскрытой в 2011 году. Новая платформа получила название Duqu 2.0.

Киберпреступники использовали уникальные и ранее не встречавшиеся инструменты и практически не оставляли следов в системе. Атака осуществлялась при помощи эксплойтов, использовавших уязвимости нулевого дня в OC Windows, а дополнительное вредоносное ПО доставлялось в атакованные системы под видом Microsoft Software Installers - установочных файлов, используемых системными администраторами для инсталляции ПО на компьютеры в удаленном режиме. Вредоносное ПО не создавало и не модифицировало какие-либо дисковые файлы или системные настройки, что делало детектирование атаки затруднительным.

Помимо себя "Лаборатория Касперского" обнаружила и других жертв в ряде западных, ближневосточных и азиатских стран. Среди наиболее заметных целей новой кампании Duqu в 2014-2015 годах стали площадки для переговоров по иранской ядерной программе "Группы 5+1" и мероприятий, посвященных 70-й годовщине освобождения узников Освенцима. Во всех этих событиях принимали участие высокопоставленные лица и политики.

В настоящее время "Лаборатория Касперского" продолжает расследовать инцидент. Уже была проведена проверка корпоративной инфраструктуры и верификация исходного кода. Как показал первичный анализ, главной задачей атакующих было получение информации о технологиях и исследованиях "Лаборатории Касперского". Помимо попыток кражи интеллектуальной собственности, никакой другой вредоносной активности, в том числе вмешательства в процессы или системы в корпоративной сети компании зафиксировано не было.

"Duqu является одной из самых сильных и хорошо подготовленных кибергруппировок, и они сделали все возможное, чтобы не попасться, - сказал Костин Райю, руководитель Глобального центра исследований и анализа угроз "Лаборатории Касперского". - В этой тщательно спланированной атаке использовалось до трех уязвимостей нулевого дня, а, значит, атакующие не жалели ресурсов, и судя по всему, расходы их были велики. Само вредоносное ПО базируется исключительно в памяти ядра операционной системы, из-за чего антивирусные решения не замечают его. Кроме того, зловред не обращается напрямую к командно-контрольному серверу для получения инструкций. Вместо этого атакующие заражают шлюзы и межсетевые экраны, устанавливая на них вредоносные драйверы, которые перенаправляют трафик из внутренних сетей на серверы атакующих".

"Шпионаж в отношении антивирусных компаний - очень тревожная тенденция. В современных условиях, когда любое оборудование и сеть могут подвергнуться заражению, защитное ПО является последним рубежом информационной безопасности для компаний и пользователей. Кроме того, существует большая вероятность, что рано или поздно технологии, задействованные в подобных таргетированных атаках, начнут использовать террористы и киберпреступники. А это уже очень серьезно, - прокомментировал Евгений Касперский, генеральный директор "Лаборатории Касперского". - Предавать огласке подобные инциденты - единственный способ сделать мир более безопасным. Такой подход не только поможет улучшить защиту инфраструктур предприятий, он станет открытым посланием всем разработчикам вредоносного ПО и демонстрацией того, что все нелегитимные операции будут остановлены и расследованы. Защитить мир можно только при объединении усилий правоохранительных органов и секьюрити-компаний, открыто борющихся с подобными атаками. Мы всегда будем сообщать обо всех киберинцидентах независимо от того, кто стоит за их организацией".