Η Ρώσικη εταιρεία ασφαλείας Kaspersky Lab ανακάλυψε πρόσφατα ότι μια ισχυρή και μυστηριώδης ομάδα hackers χρησιμοποιώντας ένα advanced persistent threat (apt) γνωστό σαν Duqu has breached its systems by using a zero-day Windows Kernel.
From 2012 to date, no other cyber-related activity associated with Duqu is a platform used for cyber-espionage.
Ωστόσο, οι λοιμώξεις έγιναν από μια νέα έκδοση της πλατφόρμας (που ονομάστηκε Duqu 2). Το νέο κακόβουλο λογισμικό εμφανίστηκε το 2014 και συνεχίζει να υπάρχει μέχρι και σήμερα στις δυτικές countries.
The zero-day vulnerability that exploits malware is CVE-2015-2360, which was patched by Microsoft on Tuesday. Kaspersky reports that one or two other vulnerabilities have been used in the attack on its systems.
Οι ερευνητές αναφέρουν ότι η αρχική επίθεση ξεκίνησε σε ένα από τα μικρότερα γραφεία της στην region της Ασίας και πιθανώς χρησιμοποιήθηκαν spear-phishing emails.
“Τα κακόβουλα modules παρατηρήθηκαν να προσπαθούν να πραγματοποιήσουν επιθέσεις ‘pass the hash' στο τοπικό δίκτυο, δίνοντας ουσιαστικά στους επιτιθέμενους πολλούς διαφορετικούς τρόπους για να πραγματοποιήσουν πλευρική movement,” αναφέρει η Kaspersky Lab.
Over 100 variants of malicious plugins have been detected
Duqu 2 uses multiple tactics to spread across the network, and in most cases, the attack was carried out with Microsoft Windows Installer support (MSI packages that can be remotely enabled on other computers).
MSI files could memorize the payload of malicious software and open backdoors for the attackers' spy targets.
Το κύριο module του Duqu 2 υλοποιεί χειρισμούς για την επικοινωνία με το centre διοίκησης και ελέγχου ή C&C server και χρησιμοποιεί πάρα πολλά πρωτόκολλα σύνδεσης μέσω proxy και αυτο-υπογεγραμμένα πιστοποιητικά HTTPS.
Ο σκοπός της επίθεσης στο δίκτυο της Kaspersky Lab φαίνεται να είναι η κατασκοπεία της χρησιμοποιούμενης technology και αυτής που αναπτύχθηκε από την εταιρεία. Η έρευνα όμως συνεχίζεται από ειδικούς ασφαλείας και αργότερα θα γνωρίζουμε περισσότερες λεπτομέρειες.
Η ανάλυση του κακόβουλου λογισμικού έδειξε ότι θα μπορούσε να συλλέξει δεδομένα από τις διεργασίες που εκτελούνται, στην επιφάνεια εργασίας και τα terminal sessions. Αναζητούσε ακόμα, κατέγραφε και έτρεχε αρχεία όπως τα “*.inuse, *.hml,” filename contains “data.hmi” ή “val.dat,” καθώς και το περιεχόμενο από συγκεκριμένους φακέλους.
Kaspersky Lab is convinced that this breach does not affect its products, technologies and services, and that its customers and partners are safe…
