A principios de 2015, Kaspersky Lab detectó una ciberintrusión que afectó a varios de sus sistemas internos. A raíz de este hallazgo, la compañía lanzó una investigación intensiva, lo que llevó al descubrimiento de una nueva plataforma de malware de uno de los actores más hábiles del mundo APT: Duqu.
El ataque explota vulnerabilidades de día cero y, después de hacer una elevación de privilegios a administrador del dominio, el malware se propaga en la red a través de archivos MSI. El ataque no dejó archivos en el disco o realizó cambios significativos en el sistema, lo que hizo difícil su detección.
Los investigadores de Kaspersky Lab descubrieron que la empresa no era el único objetivo de esta amenaza. Se han encontrado otras víctimas en los países occidentales así como en países de Oriente Medio y Asia. En particular, algunas de las nuevas infecciones del periodo 2014-2015 están vinculadas a los eventos del grupo P5+1 y a otros lugares relacionados a las negociaciones con Irán sobre un acuerdo nuclear.
Además de los eventos del grupo P5+1, el grupo Duqu 2.0 lanzó un ataque similar en relación con el evento del 70 aniversario de la liberación de Auschwitz-Birkenau. Similar a los eventos P5+1, a estas reuniones asistieron dignatarios y políticos extranjeros.
Tras el descubrimiento, Kaspersky Lab realizó una auditoría de seguridad y el análisis del ataque. La auditoría incluyó la verificación del código fuente y la comprobación de la infraestructura corporativa, el proceso todavía está en curso y se completará en unas pocas semanas. Además del robo de propiedad intelectual, no se detectaron otros indicadores de actividad maliciosa.
El análisis reveló que el principal objetivo de los atacantes era espiar las tecnologías de Kaspersky Lab, las investigaciones en curso y los procesos internos. No se detectó interferencia con procesos o sistemas.
Conclusiones preliminares:
"Espiar a las empresas de seguridad cibernética es una tendencia muy peligrosa. El software de seguridad es la última frontera de protección para las empresas y los clientes en el mundo moderno, donde el equipo de hardware y de red pueden verse comprometidos. Por otra parte, tarde o temprano las tecnologías implementadas en ataques dirigidos similares serán examinadas y utilizadas por los terroristas y delincuentes profesionales. Esto es un posible escenario de extremadamente serio", comentó Eugene Kaspersky, CEO de Kaspersky Lab.
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT