Авторы Duqu 2.0 могли взломать «Лабораторию Касперского», чтобы изучить ее
Признав, что его компания стала жертвой взлома, Евгений Касперский затруднился назвать причину, по которой хакеры выбрали своей мишенью именно ее.
Казалось бы, разработчики антивирусов должны быть лучше других защищены от хакерских атак на их сети, однако в "Лаборатории Касперского" недавно признали, что компания стала жертвой взлома. При этом точные причины, по которым в качестве объекта была избрана именно "Лаборатория", Евгений Касперский, глава компании, на специально собранной пресс-конференции в Лондоне назвать не смог.
"Взломщики проявили не только глупость, но и жадность", - заявил Касперский.
Вредонос, использованный атакующими, получил название Duqu 2.0 - по имени обнаруженного в 2011 году Duqu, который в свою очередь считается наследником печально знаменитого Stuxnet. Когда Касперского спросили, почему атакующие выбрали целью именно его компанию, он лишь поделился своими предположениями.
"Наши клиенты их не интересовали", - отметил он, указав, что при вторжении ни клиентские, ни партнерские данные скомпрометированы, по-видимому, не были.
Вредонос работал незамеченным в сети "Лаборатории" несколько месяцев. "Уверен, злоумышленники за нами наблюдали", - отметил Касперский. Он предположил, что атакующие проводили разведку в надежде выведать что-то о технологиях безопасности "Лаборатории" и принципах обнаружения и анализа вредоносов.
С помощью Duqu 2.0 были заражены корпоративные компьютеры, на которых установлена Windows. Глава "Лаборатории" считает вероятным, что это было сделано в попытке выяснить, какие вредоносные программы специалисты компании отбирали для ручного анализа.
Подавляющее большинство собранных вредоносов, как и в любой крупной антивирусной компании, в "Лаборатории Касперского" обрабатывают и классифицируют с помощью автоматизированных систем, которые также генерируют сигнатуры, отправляемые на клиентские устройства. Лишь изредка код, применяемый для атак, бывает достаточно интересным и выделяющимся на общем фоне, чтобы для его изучения было оправданно участие человека.
Сведения о том, в каких именно случаях принимается решение о более пристальном рассмотрении отдельных вредоносов, могли бы быть ценными для хакерских групп или спецслужб, позволив им разработать код для атак, который с большей вероятностью будет передан машинам. Те будут анализировать его наряду с миллионами других и могут попросту не заметить истинного назначения такого вредоноса.
"Разумеется, злоумышленники хотят знать, чем занимаются исследователи и каковы их последние достижения, - отметил Тод Бирдсли, директор по разработке Rapid7. - Они хотят выяснить, опережают ли их исследователи. Те организуют проекты по анализу технологий взлома, а другая сторона делает то же самое в отношении исследовательских методов. Контроль над сетями антивирусной компании дает злоумышленнику огромные преимущества. Оперативные разведданные будут крайне ценными - они позволяют выиграть время на подготовку к следующему нападению".
Располагая знаниями о противнике, хакеры получили бы возможность обходить средства безопасности, созданные в "Лаборатории Касперского".
Однако глава российской компании отверг предположения о том, что в результате многомесячного присутствия в сети "Лаборатории" взломщики получили какую-то значимую информацию о ее технологиях. По словам Касперского, они не смогли бы узнать ничего ценного, даже добыв исходные коды, но последнего и не произошло. "Наши технологии очень быстро обновляются, - заявил он. - Мы постоянно вносим какие-то изменения. Не исключено, что взломщики интересовались какими-то конкретными атаками, которые мы анализировали, а может быть, они просто хотели выяснить, сумеем ли мы их поймать".
В посте в блоге Forbes Касперский также написал: "Могу представить себе несколько причин, по которым кому-то могло понадобиться красть наши технические данные, но ни одна из них, похоже, не стоит риска быть обнаруженной".
А именно это и произошло со злоумышленниками.
"Теперь мы знаем, как поймать разработанный ими тайный вредонос нового поколения, - продолжил Касперский. - И им придется все начинать с чистого листа, поскольку мы раскрыли их платформу для всей индустрии информационной безопасности. Не буду ничего говорить о моральных соображениях, но вряд ли это хороший результат серьезных государственных капиталовложений". Касперский до этого высказывал убежденность в том, что Duqu 2.0 был создан хакерской командой на государственном финансировании.
Бирдсли и Касперский сошлись во мнении, что Duqu 2.0 - вредоносная программа высшего технического уровня.
"Безусловно, это что-то потрясающее, - заявил Бирдсли. - Данный вредонос - определенно высокое достижение. У него модульная структура, он способен использовать одну уязвимость нулевого дня за другой и применяет новые методы сигнализации и видоизменения".
В отличие от большинства вирусов, Duqu 2.0 почти постоянно находится целиком в оперативной памяти, что затрудняет его распознавание средствами безопасности.
Касперский в связи с этим предложил необычное, но эффективное решение по избавлению от вредоноса: "Технически это просто: отключите питание, и система очистится".