«Лаборатория Касперского» обвинила неизвестное государство в атаке на внутреннюю сеть компании

Атака на внутренние системы «Лаборатории Касперского», прошедшая в начале весны 2015 года, предположительно финансировалась неким государством. Об этом её гендиректор Евгений Касперский заявил в блоге компании.

Евгений Касперский. Фото Томаса Хлоера

По словам Касперского, злоумышленники интересовались технологиями защиты компании — сервисами и корпоративными решениями наподобие Secure Operating System, Kaspersky Fraud Prevention, Kaspersky Security Network и Anti-APT. Тем не менее компания убедилась, что после атаки исходный код её продуктов и пользовательские остались нетронутыми.

Для проникновения хакеры воспользовались несколькими уязвимостями «нулевого дня» (то есть ранее не известными), в том числе в продуктах Microsoft. Касперский заявил, что после его отчёта об ошибке в Microsoft уже успели исправить её.

По оценке специалистов «Лаборатории», организация такой атаки и написание сложного вредоносного кода требовало «колоссальных ресурсов» — около 50 миллионов долларов. Кроме того, финансовой пользы злоумышленники не получили: эти факты свидетельствуют в пользу того, что за атакой стояло некое государство, утверждает Касперский.

Какое именно государство рассматривается в качестве спонсора атаки, в «Лаборатории» не уточнили. Глава компании заявил, что не хочет лезть с такими заявлениями в политику, однако «Лаборатория» уже связалась с правозащитными органами нескольких стран и начала расследования.

Касперский также объяснил, почему компания вообще решила раскрыть информацию об атаке на собственные системы, хотя это и может повредить её имиджу.

Раскрывая информацию, мы, во-первых, посылаем публичный сигнал и оспариваем законность и моральность атаки против частного бизнеса, предположительно спонсированной государством. Во-вторых, мы делимся нашим знанием с другими компаниями чтобы помочь им защитить их активы. Даже если это повредит нашей «репутации» — мне всё равно. Наша миссия — спасение мира, и это не терпит компромиссов.

Евгений Касперский, гендиректор «Лаборатории Касперского»

Атаку назвали Duqu 2.0 в честь трояна Duqu, обнаруженного в 2011 году. Тот зловред использовался не только для кражи частной информации, но и для слежки за ядерной программой Ирана и для подделки сертификатов безопасности.

Как рассказали TJ в «Лаборатории», по некоторым признакам Duqu 2.0 можно судить о том, что эту атаку провела та же группировка, что и оригинальный Duqu.

Как правило, выяснить, кто стоит за интернет-атаками, довольно сложно. В случае с Duqu атакующие использовали несколько прокси-серверов и разные точки входа для маскировки своих соединений. Поэтому отследить их крайне сложно.

Тем не менее мы совершенно уверены, что Duqu 2.0 является обновлённой версией печально известного вредоносного ПО Duqu, обнаруженного в 2011 году, чьи создатели «ушли в подполье» в 2012 году.

Однако атакующие всегда оставляют какие-либо следы. В ходе анализа в 2011 году мы заметили, что журналы, полученные из прокси-серверов, свидетельствуют о том, что атакующие уменьшают свою активность в пятницу и совсем перестают работать в субботу, а их рабочая неделя начинается в воскресенье. Также они компилировали бинарные коды 1 января, что позволяет предположить, что для них это обычный рабочий день. Временные метки позволили предположить, что атакующие работают в часовом поясе GMT+2 или GMT+3. Наконец, их атаки обычно происходили в среду, и именно поэтому мы прозвали их «Банда Среда». Большинство их этих индикаторов времени мы нашли и в Duqu 2.0.

Бинарные коды Duqu 2.0 имеют цепочки, написанные на превосходном английском языке, однако в одной из них есть ошибка, указывающая на то, что английский не является родным для вирусописателя. Использование «Excceeded» вместо «Exceeded» в одном из модулей Duqu 2.0 — единственная языковая ошибка, которую мы заметили.

Виталий Камлюк, ведущий антивирусный эксперт «Лаборатории Касперского»