«Лаборатория Касперского» сообщила о раскрытии изощренной хакерской атаки на свою внутреннюю сеть

10 июня 2015 года

Компания "Лаборатория Касперского", занимающаяся разработкой антивирусного ПО, сообщила об обнаружении таргетированной атаки на свою внутреннюю корпоративную сеть. Подробное описание атаки было опубликовано в блоге компании от имени ее основателя Евгения Касперского, по мнению которого за атакой стоит некая правительственная спецслужба.

Специалисты компании назвали обнаруженную атаку Duqu 2.0 ввиду ее сходства с атакой трояна Duqu, имевшей место в 2011 году.

"Первая хорошая новость состоит в том, что в данном случае мы смогли обнаружить очень продвинутую и крайне скрытную зловредную программу. Разработка и эксплуатация этой платформы требуют продолжительной работы высококлассных программистов, и ее общая стоимость должна быть просто колоссальной. Концептуально эта платформа опережает все, что мы видели раньше, на целое поколение. Этот зловред использует ряд уловок, благодаря которым его предельно сложно обнаружить, а затем нейтрализовать", – говорится в сообщении. Найти зловред удалось при помощи прототипа Anti-APT-решения, которое компания разрабатывает специально для выявления сложных таргетированных атак.

При этом Касперский подчеркнул, что обнаруженная атака не нанесла вреда клиентам компании, поскольку от нее не пострадали сервисы и продукты "Лаборатории Касперского".

"Злоумышленники были заинтересованы в наших технологиях, особенно это касается нашей безопасной операционной системы, системы защиты финансовых транзакций Kaspersky Fraud Prevention, облачной системы безопасности Kaspersky Security Network, того самого решения для таргетированных атак Anti-APT, а также наших сервисов", – написал основатель компании. Также он отметил, что хакеры рассчитывали получить доступ к информации о текущих расследованиях и методах выявления вредоносных программ, а также любым другим сведениям, которые помогли бы избегать обнаружения в долгосрочной перспективе.

Экспертам компании удалось выяснить, что "Лаборатория Касперского" была не единственной целью разработчиков Duqu 2.0. В релизе, посвященном описанию этой атаки, уточняется, что мишенями хакеров в 2014-2015 годах стали площадки для переговоров по иранской ядерной программе "Группы 5+1" и мероприятий, посвященных 70-й годовщине освобождения узников Освенцима.

"Без сомнения, географический охват и список жертв этой атаки гораздо шире. Однако исходя из тех данных, которыми компания располагает уже сейчас, ясно, что Duqu 2.0 использовался для атак на высокопоставленных жертв, а атакующие руководствовались в том числе геополитическими интересами", – говорится в документе.

По словам Касперского, компания использует полученную информацию о Duqu 2.0 для улучшения собственных защитных технологий, а алгоритмы обнаружения Duqu 2.0 были добавлены в продукты "Лаборатории". Основатель компании также подчеркнул, что расследование деятельности хакеров будет продолжаться еще несколько недель.

Что же касается возможного источника атаки, то Касперский не стал называть конкретные страны или спецслужбы, которые могут стоять за создателями Duqu 2.0, однако сообщил, что компания подала заявления в правоохранительные органы нескольких стран с целью инициировать заведение уголовных дел.

"Я считаю, что ситуация, в которой возможна атака предположительно правительственной спецслужбы на частную компанию, специализирующуюся на ИТ-безопасности, крайне неприятная. Для всего человечества целью должен быть безопасный и удобный кибермир. Мы делимся данными о киберугрозах с правоохранительными органами огромного количества стран, мы помогаем бороться с киберпреступностью по всему миру, мы оказываем помощь в расследованиях киберинцидентов. В конце концов, мы учим полицейских, как вести такие расследования. А в данном случае мы видим, как (скорее всего) государство финансирует спецслужбы, которые вместо того, чтобы делать мир лучше, плюют на закон, профессиональную этику и обычный здравый смысл", – написал Касперский.

Отметим, что статья, посвященная Duqu 2.0, была опубликована в газете The Wall Street Journal. В ней, в частности, сообщается, что зловред был обнаружен в компьютерных сетях отелей, в которых в 2014 году проходили переговоры по иранской ядерной программе. По данным журналистов, за атакой, как и в случае с Duqu, могут стоять израильские спецслужбы.