Fоtо: RIA Novosti/Scanpix
"Лаборатория Касперского" обнаружила еще один чрезвычайно сложный вирус, за которым почти наверняка стоит правительство одной ближневосточной страны. Обнаружила не где-нибудь, а в своих собственных внутренних сетях — хакеры наконец-то добрались до своего врага номер один.

Об этом пишет Wired, а также сообщает сама "Лаборатория Касперского", полностью раскрывающая технические детали атаки. На счету компании выведение на чистую воду таких известных и сложных вирусов как Stuxnet, Duqu, Flame, Gauss, Regin и Equation Group. Все они нацелены на правительственные структуры или частный бизнес, работающий с государством. За этими вирусами предположительно стоят правительства США, Великобритании и Израиля. Теперь компания сама стала жертвой тех, с чьими творениями  борется уже добрых 15 лет. Можно даже сказать — "наконец-то". Вытаскивая на свет божий вирусы, созданные самыми могущественными спецслужбами планеты, российская компания буквально напрашивалась на что-то в этом духе. И уже давно.

Вирус Duqu 2.0, как его назвали специалисты "Лаборатории Касперского", очень похож на Duqu 2011 года, который, в свою очередь, имеет немало общего со Stuxnet. Оба они использовались для атаки на цели в Иране и Судане, а также для саботажа иранской ядерной программы. В Wired уверены, что за его созданием почти наверняка стоит Израиль или спонсируемые им специалисты. В особенности потому, что Duqu 2.0 был использован не только для взлома сети "Лаборатории Касперского", но и для наблюдения за ходом переговоров по иранской ядерной программе. Переговоров, на которые Израиль, несмотря на его крайнюю озабоченность и заинтересованность, просто не пригласили.

Специалисты "Лаборатории Касперского" нашли в Duqu и Duqu 2.0 куски одинакового кода. Но если в первой версии было лишь шесть модулей, то во второй их было намного больше, а общий объем зловредного кода составляет гигантские для вируса 19 мегабайтов. Все они загружаются в оперативную память — после установки Duqu 2.0 не оставляет никаких следов на жестком диске. По словам представителей компании, код вируса — один из лучших из всех, что они только видели, и в нем практически нет изъянов.

В "Лаборатории Касперского" до сих пор не знают, какую конкретно информацию успели выкачать хакеры. Передавалась она наружу в "пустых" графических файлах, что сильно затрудняет оценку ущерба. В чем компания уверена на 100%, так это в том, что никто из 400 млн. обычных пользователей ее продуктов не получил от нее зловредный код.

При этом "Лаборатория Касперского" является не единственной жертвой вируса. Десятки технологических компаний, а также отелей и конференц-центров по всему миру — мест, в которых велись переговоры по иранской ядерной программе — также стали жертвами Duqu 2.0.

Как "Лаборатория Касперского" подхватила заразу

Компания нашла Duqu 2.0 случайно, когда инженер, тестировавший новый продукт на сервере компании, заметил аномально большой трафик. Он начал "копать" и понял, что несколько десятков компьютеров компании заражены чем-то, с чем "Лаборатория Касперского" еще не сталкивалась.

Дальнейшее расследование показало, что "пациентом зеро" стал компьютер компании в одном из азиатских офисов. Его заразили с помощью zero-day-эксплоита — уязвимости, про которую еще не знают разработчики и для которой не существуют патча. За четыре часа до того, как инженеры компании поняли это, почтовый ящик и история в браузерах на этой машине были кем-то удалены — очевидно, злоумышленниками, которые поняли, что они раскрыты, и пытались замести следы. На мысль о том, что вирус наконец-то найден, их мог навести тот факт, что "Лаборатория Касперского" начала изолировать пораженные компьютеры.

Дальнейшее расследование показало, что, получив контроль над первой машиной, злоумышленники, используя другую zero-day-дыру, начали "прыгать" по компьютерам в сетях компании, пока не добрались до основного офиса в Москве. В "Лаборатории Касперского" полагают, что для этого была использована уязвимость в протоколе Kerberos, которую Microsoft закрыла лишь в ноябре прошлого года.

Находя интересующие их компьютеры, хакеры использовали третью zero-day-дыру, загружая вирус в систему на уровне ее ядра и искусно обходя антивирусное ПО. Как только Duqu 2.0 загружался в память, он удалялся с жесткого диска и с этого момента жил только в оперативной памяти компьютера. По словам представителей "Лаборатории Касперского" это говорит о том, что злоумышленники были уверены в стабильности и качестве своего продукта.

Полностью вирус разворачивался далеко не на каждой машине — на некоторых устанавливались лишь отдельные модули, которые предоставляли к ней удаленный доступ. Но если машина вызывала у хакеров большой интерес, то они ставили модули для перехвата нажатий на клавиатуру, для создания скриншотов, для перехвата паролей, доступа к файлам и так далее. Далеко не все модули еще расшифрованы "Лабораторией Касперского", но в компании утверждают, что есть там и довольно специфические образцы для особых промышленных систем. Что лишний раз указывает на то, что "Лаборатория Касперского" не была единственной, а может быть, даже и не главной целью злоумышленников.

Конечно, если вирус живет только в оперативной памяти, он должен был уничтожаться при перезагрузке или выключении компьютера. Именно это и происходило. Однако, поскольку была заражена целая сеть, это не несло особого риска. Одна или две зараженные машины исполняли роль "драйверов" — следили за состоянием Duqu 2.0 на других машинах, и если где-то код терялся, они через контроллер домена вновь загружали в память нужной машины зловредный код.

У этого "драйвера" также была еще одна цель — коммуникации. Если в сети много зараженных компьютеров, постоянно крадущих и пересылающих информацию, все вместе они могут вызвать слишком большой объем подозрительного трафика, что привлечет внимание администраторов. Создатели Duqu 2.0 для борьбы с этим использовали "драйверы" как единые "ворота" для передачи информации. Все зараженные машины общались с "драйвером", а уже он и только он передавал информацию наружу или раздавал команды изнутри.

За чем охотились авторы Duqu 2.0


Fоtо: Reuters/Scanpix

Хакеров интересовали ход "раскопок" "Лаборатории Касперского" в отношении других сложных вирусных систем, вроде Equation Group и Regin. Второй, например, использовался для атак на Европейскую комиссию и считается, что за ним стоит Великобритания. Создатели Duqu 2.0 также крали информацию о новой защищенной операционной системе, которую "Лаборатория Касперского" разрабатывает для систем управления критическими производствами. Они также изучали систему получения данных от пользователей Kaspersky Security Network.

Однако "Лаборатория Касперского", как мы уже сказали, не была ни единственной, ни главной целью создателей Duqu 2.0. По словам представителей компании, заражению подверглись несколько десятков ее клиентов, хотя она и не раскрывает ни имена, ни даже страны, в которых они находятся. Известно лишь, что некоторые из них были связаны с разработкой индустриальных систем, а другие занимались гостиничным бизнесом. Или вот еще интересная цель вируса — компания, которая занималась организацией торжеств по случаю 70-летия со дня освобождения Освенцима. Тех самых торжеств, на которых были практически все мировые лидеры, не считая Путина и Обамы.

Как Wired сообщили в Symantec, которая в рамках партнерства с "Лабораторией Касперского" получила доступ к информации о Duqu 2.0 (и нашла его у своих крупных клиентов тоже), вирус заражал компании и организации по всему миру — Великобритании, Швеции, Гонконге, Индии, в Европе, Африке и США. Некоторые из жертв были заражены еще в 2013 году. По оценке Symantec, в целом было заражено чуть менее ста сетей. Авторы Duqu 2.0 действовали крайне избирательно, за мелочью не охотились и старались работать скрытно.

Самыми интересными их целями, по мнению специалистов, оказались места проведения встреч пяти постоянных членов Совета Безопасности ООН (плюс Германия) с представителями правительства Ирана. Хакеры действовали обстоятельно — как правило, сети каждого такого места заражались за 2-3 недели до того, как там происходила сама встреча, что давало злоумышленникам время на подготовку. В как минимум одном случае заражение произошло в секретном месте проведения такой встречи — оно никак не анонсировалось, и никто о нем не знал. Кроме ее участников, а также авторов или операторов Duqu 2.0, у которых оказался такого рода инсайд. Это прямо указывает на их связь с правительственными структурами или спецслужбами какой-то страны.

Детали того, как именно хакеры шпионили за переговорами по иранской ядерной программе не известны. Но, предположительно, они не только перехватывали почту и интернет-трафик в сетях, но и взламывали системы видеонаблюдения и/или внутренней связи, что позволяло им подслушивать, а также подглядывать за ходом переговоров и даже частными разговорами участников этих встреч.

Теперь хакерам придется найти другой инструмент для выполнения своих целей. Но учитывая, что в сетях уже давно идет скрытое от глаз обывателя киберпротивостояние, в котором участвуют все крупные мировые державы, нет оснований сомневаться в том, что такие инструменты уже существуют и используются. "Лаборатории Касперского" - или другим антивирусным компаниям - надо только их в очередной раз найти.

Читайте нас там, где удобно: Facebook Telegram Instagram !