Kaspersky Lab kot kovačeva kobila žrtev dovršenega napada
Rusko podjetje Kaspersky Lab, ki je odkrilo, analiziralo, dokumentiralo in razgalilo številne najbolj dovršene napade na različne organizacije, podjetja in države, je bilo samo žrtev izjemno premetenega hekerskega napada. Med testiranjem novega orodja za odkrivanje napadov, so opazili sumljiv promet po lastnem omrežju. Preiskava je pokazala, da jih je enkrat lani okužila Duquju podobna koda.
Kaspersky Lab je s svojim delom – odkrili so Stuxnet, Duqu, Flame, Gauss, Regin in Equation Group, če naštejemo le najbolj odmevna razkritja – po eni strani trn v peti obveščevalnim službam, po drugi strani pa izvrsten vir informacij za protiobveščevalno dejavnost. Zato ni presenetljivo, da so zelo zaželena tarča; presenetljivo je kvečjemu to, da so napadalci uspeli priti v njihov sistem.
Analiza vdora je pokazala, da so uporabili kodo, ki je tako zelo podobna pred leti odkritemu Duquju, da so jo poimenoval kar Duqu 2.0. Spomnimo, da je Duqu naslednik Stuxneta. Prvega sta najverjetneje napisala ZDA in Izrael, da bi nadzorovala in sabotirala iranski jedrski program, Duqu pa so bržkone spisali Izraelci sami.
Napad so začeli na računalniku uslužbenca v azijski izpostavi, pri katerem so izkoristili nerazkrito ranljivost (zero-day vulnerabiltiy). Ko je Kaspersky Lab v preiskavi odkril ta računalnik, so napadalci pobrisali vsebino elektronske pošte na njem, torej so vedeli, da so jih zalotili. Od tam se je okužba počasi razširila po omrežju.
Duqu 2.0 tehta kar 19 megabajtov, kar je za tovrstno programsko opremo ogromno. Navadno potem na računalnike namestijo le module, ki jih dejansko potrebujejo, saj s tem zmanjšajo možnost za odkritje. V tem primeru so bili napadalci toliko predrzni, da so na večino računalnikov namestili kar celoten paket, je pa res, da je ostal zgolj v pomnilniku. Pri ponovnem zagonu se je računalnik znova okužil prek mreže. Komunikacijo z zunanjim svetom so zmanjšali tako, da so vsi okuženi računalniki komunicirali z enim računalnikom na mreži, ki je potem podatke potihoma pošiljal v svet. Naslovov ni imel vgrajenih v kodo, temveč so ga napadalci poklicali s ključno besedo romanian.antihacker.
Napadalci so iskali zlasti podatke, povezane z Reginom, ki so ga neznanci uporabili za napad na belgijski telekom in prisluškovanje Evropski uniji, in Equation Group, kakor je Kaspersky Lab poimenoval najbolj sposobno in najbolje opremljeno skupino za elektronsko in fizično prisluškovanje. Da je šlo za protiobveščevalni napad priča tudi dejstvo, da so bile žrtve Duquja 2.0 tudi druge ustanove, zlasti tiste, ki so sodelovale pri organizaciji srečanj Varnostnega sveta Združenih narodov, ko se je razpravljalo o iranskem jedrskem programu.
V uradni izjavi za javnost so iz Kaspersky Laba sporočili, da napad ni imel nobenih vplivov na njihove stranke ter na izdelke, storitve in tehnologije, ki jih Kaspersky Lab trži. Izvršni direktor Eugene Kaspersky dodaja: "Vohunjenje za podjetji, ki se ukvarjajo s kibernetsko varnostjo, je zelo nevarno. Varnostna programska oprema je v sodobnem svetu, kjer so mogoči vdori strojno opremo in omrežja, zadnja meja zaščite za podjetja in uporabnike. Poleg tega bodo prej ali slej tehnologije, v podobnih kibernetskih napadih preizkusili in izkoristili tudi teroristi in profesionalni kibernetski kriminalci. In to je izjemo resen ter možen scenarij. Poročanje o takšnih pripetljajih je edini način, da bi svet bil bolj varen. To prispeva k izboljšanju oblikovanja varnostne infrastrukture podjetij in neposredno pošilja signal razvijalcem te zlonamerne programske opreme: vse nezakonite operacije se bodo preprečile in bodo preganjane. Edini način za zaščito sveta je odkrit spoprijem organov pregona in varnostnih podjetij proti takšnim napadom. Mi bomo vedno poročali o napadih ne glede na njihov izvor.«
