Risale alla primavera di quest’anno la prima intrusione informatica subita da alcuni dei sistemi interni di Kaspersky Lab e che ha spinto l’azienda a lanciare un’indagine approfondita portando alla scoperta di una nuova piattaforma malware messa a punto da uno degli attori in ambito APT (advanced persistent threat) più esperti, misteriosi e potenti: Duqu.
L’attacco, che non lascia praticamente tracce, ha sfruttato alcune vulnerabilità zero-day e dopo aver elevato i privilegi ad amministratore del dominio, il malware si è diffuso nella rete tramite i file MSI (Microsoft Software Installer) che sono comunemente utilizzati dagli amministratori di sistema per fare il deployment del software da remoto sui computer basati su Windows. Il cyberattacco non lascia nessun file disco o modifiche delle impostazioni di sistema, rendendo il rilevamento molto difficile.
Molte le vittime di questo cyberattacco che oltre ai Paesi occidentali ha visto coinvolti anche Medio Oriente e Asia. Inoltre, alcune delle nuove infezioni del 2014-2015 sono legate agli eventi del P5+1 e ai luoghi di incontro relativi alle negoziazioni con l’Iran riguardo al nucleare. I responsabili della minaccia Duqu sembra abbiano lanciato gli attacchi nei luoghi dove si sono svolti gli interventi più importanti. Oltre agli eventi P5+1, il gruppo Duqu 2.0 ha lanciato un attacco simile in occasione del 70° anniversario della liberazione di Auschwitz-Birkenau. A questi eventi hanno partecipato molti politici e figure istituzionali straniere.
Kaspersky Lab, dopo un primo controllo della sicurezza e analisi dell’attacco. È ancora impegna sull’audit che sarà completato nel corso delle prossime settimane. Oltre al furto di proprietà intellettuale non sono stati rilevati altri indicatori di attività nociva. L’analisi rileva che lo scopo principale dell’attacco era spiare le tecnologie, le ricerche in corso e i processi interni di Kaspersky Lab. Non sono state rilevate interferenze con processi o sistemi.
Le procedure di protezione di Duqu sono state aggiunte ai prodotti dell’azienda. I prodotti di Kaspersky Lab rilevano questa minaccia come HEUR:Trojan.Win32.Duqu2.gen.
E’ possibile avere maggiori dettagli sul malware Duqu 2.0 e sugli Indicatori di Compromissione nel technical report.
Inoltre, sono disponibili linee guida generali su come contrastare gli attacchi APT all’interno dell’articolo “How to mitigate 85% of all targeted attacks using 4 simple strategies.
