Kaspersky revela ciberataque en su red corporativa
A principios de 2015, Kaspersky Lab detectó una ciberintrusión que afectó a varios de sus sistemas internos. A raíz de este hallazgo, la compañía lanzó una investigación intensiva, lo que llevó al descubrimiento de una nueva plataforma de malware de uno de los actores más hábiles del mundo APT: Duqu.
El ataque explota vulnerabilidades de día cero y, después de hacer una elevación de privilegios a administrador del dominio, el malware se propaga en la red a través de archivos MSI. El ataque no dejó archivos en el disco o realizó cambios significativos en el sistema, lo que hizo difícil su detección.
Los investigadores de Kaspersky Lab descubrieron que la empresa no era el único objetivo de esta amenaza. Se han encontrado otras víctimas en los países occidentales así como en países de Oriente Medio y Asia. En particular, algunas de las nuevas infecciones del periodo 2014-2015 están vinculadas a los eventos del grupo P5+1 y a otros lugares relacionados a las negociaciones con Irán sobre un acuerdo nuclear.
Además de los eventos del grupo P5+1, el grupo Duqu 2.0 lanzó un ataque similar en relación con el evento del 70 aniversario de la liberación de Auschwitz-Birkenau. Similar a los eventos P5+1, a estas reuniones asistieron dignatarios y políticos extranjeros.
Tras el descubrimiento, Kaspersky Lab realizó una auditoría de seguridad y el análisis del ataque. La auditoría incluyó la verificación del código fuente y la comprobación de la infraestructura corporativa, el proceso todavía está en curso y se completará en unas pocas semanas. Además del robo de propiedad intelectual, no se detectaron otros indicadores de actividad maliciosa.
El análisis reveló que el principal objetivo de los atacantes era espiar las tecnologías de Kaspersky Lab, las investigaciones en curso y los procesos internos. No se detectó interferencia con procesos o sistemas.
Conclusiones preliminares:
- El ataque fue planeado cuidadosamente y llevado a cabo por el mismo grupo que está detrás del ataque APT Duqu en 2011. Kaspersky Lab cree que se trata de una campaña patrocinada por una nación.
- Kaspersky Lab cree firmemente que el objetivo principal del ataque era adquirir información sobre las tecnologías más recientes de la compañía. Los atacantes estaban interesados especialmente ??en los detalles de las innovaciones de sus productos, incluyendo el sistema operativo seguro de Kaspersky Lab, Kaspersky Security Network y soluciones y servicios Anti-APT. Las áreas de gestión y recursos humanos no fueron de interés para los atacantes.
- La información obtenida por los atacantes no es fundamental para el funcionamiento de los productos de la compañía.
- Los atacantes también mostraron un alto interés en las investigaciones actuales de Kaspersky Lab sobre los ataques dirigidos avanzados.
- Los atacantes parecen haber explotado hasta tres vulnerabilidades de día cero. La última de ellas (CVE-2015-2360) ha sido parchada por Microsoft el 9 de junio de 2015 (MS15-061) después de que los expertos de Kaspersky informaron de ello.
«Espiar a las empresas de seguridad cibernética es una tendencia muy peligrosa. El software de seguridad es la última frontera de protección para las empresas y los clientes en el mundo moderno, donde el equipo de hardware y de red pueden verse comprometidos. Por otra parte, tarde o temprano las tecnologías implementadas en ataques dirigidos similares serán examinadas y utilizadas por los terroristas y delincuentes profesionales. Esto es un posible escenario de extremadamente serio», comentó Eugene Kaspersky, CEO de Kaspersky Lab.
Fuente: http://www.seguridad.unam.mx/noticia/
Fecha de consulta: 12 Junio 2015
