Ciberataque à Kaspersky também foi direcionado a acordos políticos no Oriente Médio

No início da primavera de 2015, a Kaspersky Lab detectou uma invasão cibernética que afetou vários de seus sistemas internos. Após esta descoberta, a empresa iniciou uma investigação extensiva, que levou uma nova plataforma de malware de um dos atores de APT (ataque persistente avançado) mais qualificados, misteriosos e poderosos do mundo: o Duqu.

A Kaspersky Lab acredita que os hackers estavam convencidos de que o ciberataque fosse impossível de detectar. O ataque incluiu várias características únicas nunca antes vistas e mal deixou um rastro. Explorava vulnerabilidades de ‘dia zero’ e, após alterar os privilégios do administrador do domínio, o malware se espalhava pela rede por meio de arquivos MSI (Microsoft Software Installer), que são comumente usados por administradores de sistema para instalar o software remotamente em computadores Windows. O ciberataque não deixou nenhum arquivo em disco nem alterou as configurações do sistema, tornando sua detecção extremamente difícil. A filosofia e a maneira de pensar do grupo por trás do Duqu 2.0 está um passo à frente de qualquer outra atividade vista no mundo dos APTs.

Pesquisadores da Kaspersky Lab descobriram que a empresa não era o único alvo dessa potente ameaça. Outras vítimas foram identificadas em países ocidentais, bem como países do Oriente Médio e Ásia. O que é ainda mais interessante é que algumas das infecções em 2014 e 2015 estão ligadas a eventos e negociações relacionadas ao acordo nuclear entre o P5+1 e o Irã. O ator por trás da ameaça Duqu parece ter lançado ataques dirigidos a locais onde foram realizadas reuniões de alto nível. Além dos eventos de P5+1, o grupo do Duqu 2.0 lançou ataques semelhantes em relação ao evento de aniversário de 70 anos da libertação de Auschwitz-Birkenau. Estas reuniões foram frequentadas por vários dignitários e políticos estrangeiros.

A Kasperky Lab fez uma auditoria de segurança inicial e análise do ataque. A auditoria consistiu na verificação do código fonte e na revisão da infraestrutura corporativa. A auditoria ainda está em curso e será concluída nas próximas semanas. Além do roubo de informações intelectuais, não há indicadores adicionais detectados de atividades maliciosas. A análise revelou que o principal objetivo dos atacantes era espionar as tecnologias da Kaspersky Lab, pesquisas em andamento e processos internos. Nenhuma interferência aos processos ou sistemas foi detectada.

Segundo a Kaspersky, o ataque foi cuidadosamente planejado e realizado pelo mesmo grupo que estava por trás do famoso ataque APT Duqu de 2011. A empresa acredita que se trata de uma campanha patrocinada por um Estado-Nação.

No seu caso, a companhia tem certeza de que o principal objetivo do ataque era obter informações sobre as novas tecnologias da empresa. Os atacantes estavam especialmente interessados nos detalhes de inovação de produtos, incluindo o Sistema Operacional da Kaspersky Lab, o Kaspersky Fraud Prevention, a Kaspersky Security Network e serviços e soluções Anti-APT. Departamentos além da área de Pesquisa & Desenvolvimento (vendas, marketing, comunicações, legal) estavam fora do interesse dos atacantes.