Saltar al contenido

Los defensores son atacados… KASPERSKY recibe ataque a sus propios sistemas.

12 junio, 2015
La empresa de seguridad Kaspersky Lab, ha pasado de estar en el lado de la protección de los ciberataques a ser una de sus víctimas. Durante los últimos meses del año pasado, un grupo ciberdelincuente ha estado atacando sus sistemas usando Duqu, un malware derivado de Stuxnet, el poderoso virus que atacó en el año 2011 a países como Irán y llegando a afectar al funcionamiento incluso de infraestructuras críticas como centrares nucleares.
Así lo ha confirmado la propia compañía en un comunicado, donde además explica los detalles de la investigación. El CEO de la compañía, Eugene Kaspersky firma un post en el blog oficial donde explica que lo sucedido tiene buenas y malas noticias.
Las malas: que han descubierto un potente ataque avanzado en sus propias redes corporativas. Las buenas: que han conseguido detectar y neutralizar un potente ataque, y que ninguno de sus clientes ha sufrido ningún daño colateral. 
Al parecer los atacantes estaban interesados en aprender sobre la tecnología de la compañía, en concreto, soluciones contra ataques persistentes. 

La investigación de Duqu

A principios de la primavera de 2015, Kaspersky Lab detectó una intrusión que afectaba a varios de sus sistemas internos, por lo que puso en marcha una investigación que llevó al descubrimiento de una nueva plataforma de malware de uno de los ataques más poderosos y hábiles encontrados hasta la fecha.
Se trata de un APT (Ataque Avanzado Persistente) muy sofisticado y una de las herramientas de ciberespionaje más avanzadas descubiertas en el mundo.
La compañía de seguridad ha denominado este ataque avanzado como Duqu 2.0, una plataforma de malware altamente sofisticado capaz de explotar hasta tres vulnerabilidades de día cero (zero-day).
Los investigadores de la compañía creen que los ciberatacantes estaban muy seguros de que era imposible descubrir el ataque, ya que incluía algunas características únicas e invisibles para que apenas dejase rastro. El ataque explota vulnerabilidades zero-day y tras la elevación a privilegios de administrador de dominio, el malware se propaga en la red a través de la instalación de paquetes MSI (Microsoft Software Installer), que son los archivos que los administradores de sistemas utilizan habitualmente para instalar software en equipos Windows remoto.
El ciberataque no realizaba cambios en el disco de la víctima o en la configuración del sistema, lo que hacía muy difícil la detección. Según Kaspersky, “la filosofía y la forma de pensar del grupo “Duqu 2.0″ nos muestra una generación más avanzada, que va por delante de todo lo visto en el mundo APT.

El virus también espió reuniones nucleares sobre Irán

Pero la compañía de seguridad no era el único objetivo de este ataque. Se han encontrado otras víctimas en países occidentales, así como en países de Oriente Medio y Asia. En particular, algunas de las últimas infecciones localizadas están vinculadas a los eventos P5+1 y lugares relacionados con las negociaciones con Irán sobre un acuerdo nuclear. El grupo que está detrás de Duqu parece haber lanzado ataques en los lugares donde se produjeron estas negociaciones. 
Reportar este tipo de incidentes es la única forma de hacer que el mundo sea más seguro. Esto ayuda a mejorar el diseño de la seguridad de las infraestructuras de las empresas y envía una señal clara a los desarrolladores de este malware: todas las operaciones ilegales serán detenidas y procesadas. La única manera de proteger el mundo es que los organismos policiales  y de control y las empresas de seguridad luchen contra este tipo de ataques abiertamente. Siempre vamos a informar de los ataques sin importar su origen “, Eugene Kaspersky.
Sin duda, un ejemplo de cómo se debe actuar frente a una crisis: con total transparencia.