Een hackersgroep die in 2011 actief was is nu in verbeterde versie teruggekeerd. Dat heeft Kaspersky Lab ontdekt, nadat zij zelf waren aangevallen door de groep. Volgens het beveiligingsbedrijf is de nieuwe versie van Duqu (Duqu 2.0), zoals de groep wordt genoemd, zeer geavanceerd. En wordt Duqu door een staat gesteund.
Duqu 2.0 maakt misbruik van drie zero day veiligheidslekken om de interne systemen van Kaspersky Lab binnen te dringen. Dit is volgens Costin Raiu, directeur van Kaspersky Labs Global Research & Analysis Team, erg indrukwekkend. ‘De kosten moeten zeer hoog zijn geweest.’ Bovendien deden de hackers er alles aan om verborgen te blijven. Om dit voor elkaar te krijgen bevindt de malware zich enkel in het kernel-geheugen, legt Raiu uit. ‘Anti-malware-oplossingen kunnen daardoor problemen hebben met de detectie ervan.’
Ook maakt het voor de ontvangst van instructies geen directe verbinding met een command and control server, zegt Raiu. ‘In plaats daarvan infecteren de aanvallers netwerk gateways en firewalls door kwaadaardige drivers te installeren die via een proxy alle verkeer vanaf het interne netwerk naar de command and control servers van de aanvallers leiden.’
Intellectueel eigendom buitgemaakt
De hackers hebben intellectueel eigendom van het beveiligingsbedrijf gestolen. Duqu heeft informatie kunnen bekijken over productinnovaties, waaronder Kaspersky Labs Secure Operating System, Kaspersky Fraud Prevention, het Kaspersky Security Network en Anti-APT-oplossingen en -diensten. Ook toonden de aanvallers veel interesse in de lopende onderzoeken naar geavanceerde gerichte aanvallen van Kaspersky Lab.
Naast de diefstal van intellectueel eigendom, lijkt het er op dat er geen andere kwaadaardige activiteiten hebben plaatsgevonden. De informatie die door de aanvallers is bekeken is volgens het beveiligingsbedrijf niet cruciaal voor de werking van de producten van het bedrijf. En ook is Kaspersky Lab ervan overtuigd dat zijn klanten en partners veilig.
Een overheid steunt Duqu
Volgens Kaspersky Lab is Duqu een door een staat gesteunde campagne. Opvallend is dat Duqu slachtoffers heeft gemaakt op locaties waar een groot aantal hoogwaardigheidsbekleders en politici aanwezig waren en waar gesprekken op hoog niveau plaatsvonden. Als voorbeeld noemt het beveiligingsbedrijf de P5+1 evenementen en locaties met betrekking tot de onderhandelingen met Iran over een nucleaire overeenkomst en het zeventigjarig jubileum van de bevrijding van Auschwitz-Birkenau.
Volgens ceo Eugene Kaspersky, is het rapporteren van dergelijke incidenten de enige manier om de wereld veiliger te maken. ‘Het helpt het beveiligingsontwerp van de enterprise-infrastructuur te verbeteren en stuurt een duidelijk signaal aan de ontwikkelaars van deze malware: alle illegale activiteiten zullen worden tegengehouden en vervolgd. De enige manier om de wereld te beschermen is door wetshandhavers en beveiligingsbedrijven dergelijke aanvallen in alle openheid te laten bestrijden.’ Kaspersky Lab heeft cyberpolitie-afdelingen in verschillende landen dan ook benaderd met officiële verzoeken om deze aanval strafrechtelijk te onderzoeken.
Kaspersky Lab voerde een initiële beveiligings-audit en analyse uit van de aanval. De audit omvatte broncodeverificatie en controle van de bedrijfsinfrastructuur. Deze audit is nog steeds aan de gang en zal binnen enkele weken worden afgerond. Alle technische details over Duqu zijn door Kaspersky Lab vrijgegeven via Securelist.
Ik kan niet anders zeggen dat ik het moedig vind van Kaspersky Lab om dit zo open te communiceren. Dat is de enige methode om er echt wat tegen te doen.