автор: raven000 04.01.2024 0 Комментарии

Осенью на коллективную сеть «Корпорации Касперского» была сделана атака. Следствие продемонстрировало, что виной тому новая вредная платформа, имеющая прямое отношение к одной из наиболее трудных кампаний кибершпионажа — Duqu, открытой в 2011 году. Новая платформа будет называться Duqu 2.0.

Киберпреступники применяли эксклюзивные и раньше не встречавшиеся приборы и почти не бросали отпечатков в системе. Атака проводилась с помощью эксплойтов, использовавших уязвимости свежего дня в OC Виндоус, но дополнительное вредное ПО доставлялось в атакованные системы маскируясь под Майкрософт Software Installers — инструкционных документов, применяемых системными администраторами для установки ПО на ПК в удаленном режиме. Вредное ПО не формировало и не изменило какие-нибудь дисковые документы либо системные опции, что делало детектирование атаки трудным.

Кроме себя «Корпорация Касперского» нашла и прочих потерпевших в ряде восточных, ближневосточных и азиатских стран. Среди самых заметных задач новой кампании Duqu в 2014-2015 гг. стали площадки для переговоров по иранской ядерной платформе «Компании 5+1» и событий, посвященных 70-й юбилею избавления арестантов Освенцима. Во всех этих мероприятиях участвовали влиятельные лица и политики.

Сейчас «Корпорация Касперского» продолжает выяснить конфликт. была осуществлена проверка общей инфраструктуры и верификация начального кода. Как продемонстрировал основной тест, основной целью нападающих было приобретение информации о разработках и исследовательских работах «Корпорации Касперского». Кроме усилий кражи умной собственности, никакой другой вредной энергичности, и в том числе вмешательства в процессы либо системы в общей сети компании установлено не было.

«Duqu считается одной из сильнейших и прекрасно приготовленных кибергруппировок, и они создали все вероятное, чтобы не угодить, — заявил Костин Райю, управляющий Мирового центра исследовательских работ и теста опасностей «Корпорации Касперского». — В данной скрупулезно спроектированной атаке применялось до 3-х уязвимостей свежего дня, но, означает, нападающие не сожалели ресурсов, и по всей видимости, траты их были велики. Само вредное ПО основывается только в памяти ядра ОС, в связи с чем противовирусные решения не отмечают его. Также, зловред не обращается прямо к командно-контрольному компьютеру для принятия инструкций. Вместо этого нападающие передают ключи и межсетевые экраны, ставя на них вредные драйверы, которые перенаправляют трафик из внешних сетей на компьютеры нападающих».

«Шпионаж в отношении противовирусных организаций — весьма беспокойная линия. В наше время, когда любое оснащение и сеть могут подвергнуться инфицированию, защитное ПО считается заключительным рубежом справочной безопасности для организаций и клиентов. Также, есть огромная возможность, что в какой-то момент технологии, задействованные в таких таргетированных атаках, начнут применять бандиты и киберпреступники. Но это серьезно, — комментировал Е. Касперский, гендиректор «Корпорации Касперского». — Изменять огласке такие конфликты — один метод сделать мир не менее безопасным. Такой подход не только лишь сможет помочь сделать лучше защиту инфраструктур заводов, он будет открытым письмом всем создателям вредного ПО и презентацией того, что все неправомочные процедуры будут остановлены и расследованы. Предохранить мир можно лишь при союзе сил структурах правопорядка и секьюрити-компаний, открыто дерущихся с такими атаками. Мы всегда будем докладывать обо всех киберинцидентах вне зависимости от того, кто стоит за их компанией».