En los albores del 2015, el equipo de Kaspersky Lab detectaba una ciberintrusión en sus sistemas, haciendo saltar las alarmas del gigante en ciberseguridad, que inmediatamente ordenó llevar a cabo un análisis profundo y detallado del incidente.
Las conclusiones de la ardua investigación fueron que el APT (Advanced Persistent Threat) utilizado era un sucesor del temido duqu, que aterró las redes en los años 2011 y 2012.
El ataque inicial se enfocó en el eslabón
más débil de la cadena, el usuario
El inició del ataque, usando probablemente un exploit zero-day, se enfocó en un empleado ubicado en una de las pequeñas oficinas de la multinacional, sospechándose que el vector de infección fueron unos correos electrónicos recibidos con phising. Una vez infectada una máquina, se puso en marcha el reconocimiento de la topología de la red y comenzaron los movimientos laterales buscando explotar una vulnerabilidad que permitiera una elevación de privilegios.
Tal y como indican los expertos de Kaspersky Lab en el informe técnico del incidente, cuya lectura es más que recomendada, para obtener la elevación de privilegios se pudo utilizar la zero-day (CVE-2014-6324) con la que un usuario de dominio puede conseguir el rol de administrador en equipos no parcheados. Una vez obtenidos los privilegios administrativos, se procedió a extender la infección a otros equipos del dominio, utilizando principalmente Paquetes de Instalación de Microsoft Windows (MSI) que fueron ejecutados con servicios creados en las máquinas víctima.
El desarrollo y mantenimiento de un APT de estas características, como podemos leer en el blog de Kaspersky, tiene un elevadísimo coste, al alcance de muy pocos. De hecho, los atacantes, dada la complejidad e innovación utilizada, posiblemente daban por sentado que no serían detectados y su desenmascaramiento fue mediante la versión alfa de la solución Anti-APT de la multinacional rusa.
La motivación del ataque posiblemente se basara en obtención de información sobre las nuevas técnicas de ciberdefensa que están desarrollando en los laboratorios de Kaspersky Lab, especialmente los nuevos métodos de detección y análisis.
La empresa afirma en su blog que «ninguno de nuestros productos se ha visto comprometido, por lo que nuestros clientes no se enfrentan a ningún riesgo causado por esta infracción» .
En el proceso de la investigación, se han percatado que los responsables del manejo de Duqu 2.0 también han fijado otros objetivos de primera línea en diferentes continentes, como algunos de los miembros que participaron en las negociaciones del programa nuclear de Irán y en los eventos dedicados al 70 aniversario de la liberación de Auschwitz.
La respuesta de Kaspersky Lab ante este incidente, creo que debería servir de ejemplo para muchas organizaciones y compañías, que optan por ocultar completamente u otorgar poca importancia a sucesos de esta índole. Además, el nivel de detalle mostrado en informe técnico del ataque, sin lugar a dudas nos sirve a todos para aprender un poco más en la dura lucha contra el cibercrimen.
Tal y como expresa el CEO de Kaspersky Lab, Eugene Kaspersky, en su blog: «necesitamos que las normas del juego sean aceptadas a nivel mundial para frenar el espionaje digital y evitar la guerra cibernética».
Fuentes: