"Лабораторию Касперского" атаковали

«Лаборатория Касперского» сообщает о том, что зафиксировала кибервторжение в свою корпоративную сеть. Атакующие использовали уникальные и ранее не встречавшиеся инструменты, практически не оставляющие следов в системе. Атака осуществлялась при помощи эксплойтов, использовавших уязвимости нулевого дня в OC Windows, а дополнительное вредоносное ПО доставлялось в атакованные системы под видом Microsoft Software Installers (MSI). Вредоносное ПО не создавало и не модифицировало какие-либо дисковые файлы или системные настройки, что делало детектирование атаки затруднительным. «Лаборатория Касперского» оказалась не единственной целью атакующих, эксперты компании обнаружили других жертв в ряде западных, ближневосточных и азиатских стран. Среди наиболее заметных мишеней - площадки для переговоров по иранской ядерной программе «Группы 5+1» и мероприятий, посвященных 70-й годовщине освобождения узников Освенцима. Во всех этих событиях принимали участие высокопоставленные лица и политики. В настоящее время «Лаборатория Касперского» продолжает расследовать инцидент. Уже была проведена проверка корпоративной инфраструктуры и верификация исходного кода. Как показал первичный анализ, главной задачей атакующих было получение информации о технологиях и исследованиях «Лаборатории Касперского». Помимо попыток кражи интеллектуальной собственности, никакой другой вредоносной активности, в том числе вмешательства в процессы или системы, в корпоративной сети компании зафиксировано не было. «Лаборатория Касперского» заверяет, что инцидент не оказал никакого влияния на продукты, технологии и сервисы компании, клиенты и партнеры находятся в безопасности. Атака выполнялась той же группировкой, что стояла за известной кампанией кибершпионажа Duqu, обнаруженной в 2011 году. «Лаборатория Касперского» считает, что данная кампания спонсируется на государственном уровне.  «Duqu является одной из самых сильных и хорошо подготовленных кибергруппировок, и они сделали все возможное, чтобы не попасться, – рассказывает Костин Райю, руководитель Глобального центра исследований и анализа угроз «Лаборатории Касперского». – В этой тщательно спланированной атаке использовалось до трех уязвимостей нулевого дня, а, значит, атакующие не жалели ресурсов, и судя по всему, расходы их были велики. Само вредоносное ПО базируется исключительно в памяти ядра операционной системы, из-за чего антивирусные решения не замечают его. Кроме того, зловред не обращается напрямую к командно-контрольному серверу для получения инструкций. Вместо этого атакующие заражают шлюзы и межсетевые экраны, устанавливая на них вредоносные драйверы, которые перенаправляют трафик из внутренних сетей на серверы атакующих». Комментируя ситуацию, Евгений Касперский, генеральный директор «Лаборатории Касперского», заявил: «Шпионаж в отношении антивирусных компаний – очень тревожная тенденция. В современных условиях, когда любое оборудование и сеть могут подвергнуться заражению, защитное ПО является последним рубежом информационной безопасности для компаний и пользователей. Кроме того, существует большая вероятность, что рано или поздно технологии, задействованные в подобных таргетированных атаках, начнут использовать террористы и киберпреступники. А это уже очень серьезно». «Лаборатория Касперского» отмечает, что представленная информация – это предварительные результаты расследования, а географический охват и список жертв этой атаки гораздо шире. Однако исходя из тех данных, которыми компания располагает уже сейчас, ясно, что Duqu 2.0 использовался для атак на высокопоставленных жертв. В целях нейтрализации этой угрозы «Лаборатория Касперского» публикует индикаторы заражения, а также предлагает свою помощь всем заинтересованным организациям. Необходимые функции для защиты от Duqu 2.0 были добавлены в продукты компании. Решения «Лаборатории Касперского» детектируют эту угрозу как HEUR:Trojan.Win32.Duqu2.gen.   Ссылка на источник