Донецкий техникум промышленной автоматики

Розслідування хакерської атаки на «Лабораторію Касперського»

  1. Погана новина
  2. Гарна новина № 1: ми знайшли чорну кішку в темній кімнаті
  3. Гарна новина № 2: наші клієнти в безпеці
  4. подробиці атаки
  5. Хто стоїть за цією атакою? Яка країна?

У мене є для вас одна погана і кілька хороших новин.

Погана новина

Погана новина полягає в тому, що ми виявили таргетовану атаку на нашу внутрішню корпоративну мережу. Зловмисники створили інноваційну шкідливу кіберплатформу і використовували кілька вразливостей нульового дня. Ми практично впевнені, що за цією атакою ховається державна спецслужба. Ми назвали цю атаку Duqu 2.0 . з цієї засланні можна прочитати, чому ми вибрали цю назву і як ця платформа пов'язана зі старою Duqu .

з цієї засланні можна прочитати, чому ми вибрали цю назву і як ця платформа пов'язана зі старою Duqu

Гарна новина № 1: ми знайшли чорну кішку в темній кімнаті

Перша хороша новина полягає в тому, що в даному випадку ми змогли виявити дуже просунуту і вкрай потайливу шкідливу програму. Розробка і експлуатація цієї платформи вимагає тривалої роботи висококласних програмістів, і її загальна вартість повинна бути просто колосальною. Концептуально ця платформа випереджає всі, що ми бачили раніше, на ціле покоління. Цей шкідник використовує ряд прийомів, завдяки яким його гранично складно виявити, а потім нейтралізувати. Є відчуття, що оператори Duqu 2.0 були переконані, що виявити цю шпигунську програму неможливо в принципі. Однак ми це змогли зробити за допомогою прототипу нашого Anti-APT-рішення, яке ми розробляємо спеціально для виявлення складних націлених атак.

Гарна новина № 2: наші клієнти в безпеці

Найголовніше для нас - що ні наші продукти, ні наші сервіси не були скомпрометовані. Тому ця шпигунська атака не несе ніяких ризиків для наших клієнтів.

подробиці атаки

Зловмисники були зацікавлені в наших технологіях, особливо це стосується нашої безпечної операційної системи , Системи захисту фінансових транзакцій Kaspersky Fraud Prevention , Хмарної системи безпеки Kaspersky Security Network , Того самого рішення для націлених атак Anti-APT, а також наших сервісів. Негідники також хотіли отримати доступ до наших поточних розслідувань і уявлення про наших методах виявлення шкідливих програм і про наших аналітичних інструментах. Оскільки ми відомі в галузі, зокрема, за наші успіхи в розслідуванні складних кібератак, вони шукали інформацію, яка допомогла б їм уникати виявлення в довгостроковій перспективі. Вийшло по-іншому.

Шпигунська атака на нашу компанію виглядає не дуже розумним кроком: зловмисники фактично втратили дуже дорогу і технологічно просунуту платформу, яку вони розробляли протягом кількох років. Крім того, вони намагалися отримати шпигунський доступ до наших технологій, які ми пропонуємо нашим партнерам для ліцензування (по крайней мере, деякі з них)!

Крім іншого ми виявили, що зловмисники також використовували цю платформу, щоб шпигувати за високопоставленими цілями, включаючи учасників міжнародних переговорів за іранською ядерною програмою і учасників пам'ятних заходів з нагоди 70-ї річниці визволення Освенцима. Наше внутрішнє розслідування ще не закінчено, але ми впевнені, що у цього угруповання були і інші цілі в багатьох країнах світу. Я також думаю, що після того, як ми виявили Duqu 2.0, зловмисники намагалися знищити будь-які сліди свого доступу до інфікованих мереж, щоб запобігти викриття.

#Duqu 2.0 використовувалася для шпигунства за іранськими ядерними переговорами, за церемонією 70-річчя звільнення Освенцима і іншими цілями

Ми ж в свою чергу використовуємо цю атаку для поліпшення наших технологій. Нове знання завжди корисно, і чим більше нам відомо про кіберзагрози, тим кращий захист ми можемо розробити. І, звичайно ж, ми вже додали алгоритми виявлення Duqu 2.0 в наші продукти. Так що загалом і в цілому все це не такі вже й погані новини.

Наше розслідування ще не закінчено, воно триватиме ще кілька тижнів, і будуть з'являтися нові подробиці. Однак ми вже перевірили цілісність вихідного коду наших продуктів і сервісів і переконалися, що ніяких змін внесено не було. Ми можемо підтвердити, що наші вірусні бази даних ніяк не постраждали і зломщики не отримали доступу до будь-якої інформації, пов'язаної з нашими клієнтами.

На даному етапі цієї історії ви можете задати питання: а навіщо ми, власне, публікуємо інформацію про цю атаку і не боїмося ми, що постраждає репутація нашої компанії?

По-перше, якби ми вирішили не розкривати цю інформацію, це означало б, що ми фактично допомагаємо хакерам в майбутньому безкарно влазити туди, куди їм не належить. Ми дуже добре розбираємося в націлених атаках і розуміємо, що не варто соромитися, якщо став їхньою жертвою, вони можуть статися з ким завгодно. В нашій галузі є стара сумний жарт, що компанії діляться на тих, кого вже хакнули, і тих, хто не знає, що їх уже хакнули. В реальності все, мабуть, не так погано, але в кожному жарті є частка не тільки жарти. Роблячи інформацію про цю атаку публічної ми: а) хочемо ініціювати публічну дискусію на тему виправданості ситуації, в якій держава організовує хакерську атаку на приватну компанію, що займається ІТ-безпекою; б) ми ділимося нашим новим знанням з спільнотою професіоналів в нашій галузі, а також з комерційними компаніями, правоохоронними органами і міжнародними організаціями по всьому світу з метою мінімізувати шкоду від цієї шкідливої ​​платформи. Якщо це означає шкоди нашій репутації, то мені все одно. Ми рятуємо світ, доводиться йти заради цього на жертви.

Хто стоїть за цією атакою? Яка країна?

Я говорив це не раз і готовий повторити знову: ми не займаємося атрибуцією кібератак. Ми фахівці в області безпеки, причому кращі в своїй сфері, і ми завжди поза політикою. При цьому ми прихильники відповідального розкриття інформації, тому ми подали заяви в правоохоронні органи декількох країн з метою ініціювати заклад кримінальних справ. Ми також повідомили Microsoft про уразливість нульового дня, яку вони вже пропатчити (Не забудьте встановити оновлення).

Я вважаю, що кожен повинен робити свою справу і тим самим робити наш світ кращим.

На завершення кілька слів про те, що мене турбує.

Я вважаю, що ситуація, в якій можлива атака імовірно урядової спецслужби на приватну компанію, що спеціалізується на ІТ-безпеки, вкрай неприємна. Для всього людства метою повинен бути безпечний і зручний кіберсвіту. Ми ділимося даними про кіберзагрози з правоохоронними органами величезної кількості країн, ми допомагаємо боротися з кіберзлочинністю по всьому світу, ми надаємо допомогу в розслідуваннях кіберінцідентов. Зрештою, ми вчимо поліцейських, як вести такі розслідування. А в даному випадку ми бачимо, як (швидше за все) держава фінансує спецслужби, які замість того, щоб робити світ кращим, плюють на закон, професійну етику і звичайний здоровий глузд.

Тим, хто живе в скляному будинку не слід кидатися камінням

Для мене це ще один сигнал, що нам потрібні спільні колективні усіма правила, які будуть дотримуватися всіма країнами і які б обмежили масштаб цифрового шпигунства і могли б запобігти кібервійни. Якщо якісь угруповання, включаючи мають державну підтримку, будуть продовжувати вести себе в Інтернеті так, як ніби це такий собі цифровий Дикий Захід, простір, де ніякі правила не діють, де немає ніякої відповідальності, це буде означати дуже серйозну загрозу глобального прогресу інформаційних технологій . І я ще раз закликаю всі відповідальні країни домовитися про такі правила і спільно боротися з кіберзлочинністю, а не поширювати шкідливі програми.

Яка країна?
На даному етапі цієї історії ви можете задати питання: а навіщо ми, власне, публікуємо інформацію про цю атаку і не боїмося ми, що постраждає репутація нашої компанії?
Хто стоїть за цією атакою?
Яка країна?