LINUX.ORG.RU
ФорумTalks

Касперского поломали

 , , , ,


1

2

«Лаборатория Касперского» обнаружила еще один чрезвычайно сложный вирус, за которым почти наверняка стоит правительство одной ближневосточной страны. Обнаружила не где-нибудь, а в своих собственных внутренних сетях — хакеры наконец-то добрались до своего врага номер один.

Об этом пишет Wired, а также сообщает сама «Лаборатория Касперского», полностью раскрывающая технические детали атаки. На счету компании выведение на чистую воду таких известных и сложных вирусов как Stuxnet, Duqu, Flame, Gauss, Regin и Equation Group. Все они нацелены на правительственные структуры или частный бизнес, работающий с государством. За этими вирусами предположительно стоят правительства США, Великобритании и Израиля. Теперь компания сама стала жертвой тех, с чьими творениями борется уже добрых 15 лет. Можно даже сказать — «наконец-то». Вытаскивая на свет божий вирусы, созданные самыми могущественными спецслужбами планеты, российская компания буквально напрашивалась на что-то в этом духе. И уже давно.

Вирус Duqu 2.0, как его назвали специалисты «Лаборатории Касперского», очень похож на Duqu 2011 года, который, в свою очередь, имеет немало общего со Stuxnet. Оба они использовались для атаки на цели в Иране и Судане, а также для саботажа иранской ядерной программы. В Wired уверены, что за его созданием почти наверняка стоит Израиль или спонсируемые им специалисты. В особенности потому, что Duqu 2.0 был использован не только для взлома сети «Лаборатории Касперского», но и для наблюдения за ходом переговоров по иранской ядерной программе. Переговоров, на которые Израиль, несмотря на его крайнюю озабоченность и заинтересованность, просто не пригласили.

Специалисты «Лаборатории Касперского» нашли в Duqu и Duqu 2.0 куски одинакового кода. Но если в первой версии было лишь шесть модулей, то во второй их было намного больше, а общий объем зловредного кода составляет гигантские для вируса 19 мегабайтов. Все они загружаются в оперативную память — после установки Duqu 2.0 не оставляет никаких следов на жестком диске. По словам представителей компании, код вируса — один из лучших из всех, что они только видели, и в нем практически нет изъянов.

В «Лаборатории Касперского» до сих пор не знают, какую конкретно информацию успели выкачать хакеры. Передавалась она наружу в «пустых» графических файлах, что сильно затрудняет оценку ущерба. В чем компания уверена на 100%, так это в том, что никто из 400 млн. обычных пользователей ее продуктов не получил от нее зловредный код.

При этом «Лаборатория Касперского» является не единственной жертвой вируса. Десятки технологических компаний, а также отелей и конференц-центров по всему миру — мест, в которых велись переговоры по иранской ядерной программе — также стали жертвами Duqu 2.0.

Компания нашла Duqu 2.0 случайно, когда инженер, тестировавший новый продукт на сервере компании, заметил аномально большой трафик. Он начал «копать» и понял, что несколько десятков компьютеров компании заражены чем-то, с чем «Лаборатория Касперского» еще не сталкивалась.

Дальнейшее расследование показало, что «пациентом зеро» стал компьютер компании в одном из азиатских офисов. Его заразили с помощью zero-day-эксплоита — уязвимости, про которую еще не знают разработчики и для которой не существуют патча. За четыре часа до того, как инженеры компании поняли это, почтовый ящик и история в браузерах на этой машине были кем-то удалены — очевидно, злоумышленниками, которые поняли, что они раскрыты, и пытались замести следы. На мысль о том, что вирус наконец-то найден, их мог навести тот факт, что «Лаборатория Касперского» начала изолировать пораженные компьютеры.

Дальнейшее расследование показало, что, получив контроль над первой машиной, злоумышленники, используя другую zero-day-дыру, начали «прыгать» по компьютерам в сетях компании, пока не добрались до основного офиса в Москве. В «Лаборатории Касперского» полагают, что для этого была использована уязвимость в протоколе Kerberos, которую Microsoft закрыла лишь в ноябре прошлого года.

Находя интересующие их компьютеры, хакеры использовали третью zero-day-дыру, загружая вирус в систему на уровне ее ядра и искусно обходя антивирусное ПО. Как только Duqu 2.0 загружался в память, он удалялся с жесткого диска и с этого момента жил только в оперативной памяти компьютера. По словам представителей «Лаборатории Касперского» это говорит о том, что злоумышленники были уверены в стабильности и качестве своего продукта.

Полностью вирус разворачивался далеко не на каждой машине — на некоторых устанавливались лишь отдельные модули, которые предоставляли к ней удаленный доступ. Но если машина вызывала у хакеров большой интерес, то они ставили модули для перехвата нажатий на клавиатуру, для создания скриншотов, для перехвата паролей, доступа к файлам и так далее. Далеко не все модули еще расшифрованы «Лабораторией Касперского», но в компании утверждают, что есть там и довольно специфические образцы для особых промышленных систем. Что лишний раз указывает на то, что «Лаборатория Касперского» не была единственной, а может быть, даже и не главной целью злоумышленников.

Конечно, если вирус живет только в оперативной памяти, он должен был уничтожаться при перезагрузке или выключении компьютера. Именно это и происходило. Однако, поскольку была заражена целая сеть, это не несло особого риска. Одна или две зараженные машины исполняли роль «драйверов» — следили за состоянием Duqu 2.0 на других машинах, и если где-то код терялся, они через контроллер домена вновь загружали в память нужной машины зловредный код.

У этого «драйвера» также была еще одна цель — коммуникации. Если в сети много зараженных компьютеров, постоянно крадущих и пересылающих информацию, все вместе они могут вызвать слишком большой объем подозрительного трафика, что привлечет внимание администраторов. Создатели Duqu 2.0 для борьбы с этим использовали «драйверы» как единые «ворота» для передачи информации. Все зараженные машины общались с «драйвером», а уже он и только он передавал информацию наружу или раздавал команды изнутри.

Хакеров интересовали ход «раскопок» «Лаборатории Касперского» в отношении других сложных вирусных систем, вроде Equation Group и Regin. Второй, например, использовался для атак на Европейскую комиссию и считается, что за ним стоит Великобритания. Создатели Duqu 2.0 также крали информацию о новой защищенной операционной системе, которую «Лаборатория Касперского» разрабатывает для систем управления критическими производствами. Они также изучали систему получения данных от пользователей Kaspersky Security Network.

Однако «Лаборатория Касперского», как мы уже сказали, не была ни единственной, ни главной целью создателей Duqu 2.0. По словам представителей компании, заражению подверглись несколько десятков ее клиентов, хотя она и не раскрывает ни имена, ни даже страны, в которых они находятся. Известно лишь, что некоторые из них были связаны с разработкой индустриальных систем, а другие занимались гостиничным бизнесом. Или вот еще интересная цель вируса — компания, которая занималась организацией торжеств по случаю 70-летия со дня освобождения Освенцима. Тех самых торжеств, на которых были практически все мировые лидеры, не считая Путина и Обамы.

Как Wired сообщили в Symantec, которая в рамках партнерства с «Лабораторией Касперского» получила доступ к информации о Duqu 2.0 (и нашла его у своих крупных клиентов тоже), вирус заражал компании и организации по всему миру — Великобритании, Швеции, Гонконге, Индии, в Европе, Африке и США. Некоторые из жертв были заражены еще в 2013 году. По оценке Symantec, в целом было заражено чуть менее ста сетей. Авторы Duqu 2.0 действовали крайне избирательно, за мелочью не охотились и старались работать скрытно.

Самыми интересными их целями, по мнению специалистов, оказались места проведения встреч пяти постоянных членов Совета Безопасности ООН (плюс Германия) с представителями правительства Ирана. Хакеры действовали обстоятельно — как правило, сети каждого такого места заражались за 2-3 недели до того, как там происходила сама встреча, что давало злоумышленникам время на подготовку. В как минимум одном случае заражение произошло в секретном месте проведения такой встречи — оно никак не анонсировалось, и никто о нем не знал. Кроме ее участников, а также авторов или операторов Duqu 2.0, у которых оказался такого рода инсайд. Это прямо указывает на их связь с правительственными структурами или спецслужбами какой-то страны.

Детали того, как именно хакеры шпионили за переговорами по иранской ядерной программе не известны. Но, предположительно, они не только перехватывали почту и интернет-трафик в сетях, но и взламывали системы видеонаблюдения и/или внутренней связи, что позволяло им подслушивать, а также подглядывать за ходом переговоров и даже частными разговорами участников этих встреч.

Теперь хакерам придется найти другой инструмент для выполнения своих целей. Но учитывая, что в сетях уже давно идет скрытое от глаз обывателя киберпротивостояние, в котором участвуют все крупные мировые державы, нет оснований сомневаться в том, что такие инструменты уже существуют и используются. «Лаборатории Касперского» - или другим антивирусным компаниям - надо только их в очередной раз найти.

http://rus.delfi.lv/techlife/detali/istoriya-dnya-kak-izrailskie-hakery-nakon...

★★

Долго читать. Что именно ему сломали? Руку? Ногу?

Stahl ★★☆ ()

Желтизна и off topic

При чём здесь Linux? Хоть бы комментарий дали, что этим буратинам стоило бы использовать Debian, а не Решето 2003 Server на серверах.

Camel ★★★★★ ()

tl;dr

А можно краткую версию этой простыни?

otto ★★ ()

Долго читать. Каким антивирусом они пользовались? ну что б знать чего не советовать ни кому

PakMaH ()

«Лаборатория Касперского» обнаружила еще один чрезвычайно сложный вирус, за которым почти наверняка стоит правительство одной ближневосточной страны. Обнаружила не где-нибудь, а в своих собственных внутренних сетях — хакеры наконец-то добрались до своего врага номер один.

при Шамане такого не было!

JB ★★★★★ ()

Касперский затрахал своими прохладными историями а-ля черным пиаром. Сколько можно уже.

Solace ★★ ()

tl;dr

Лаборатория Касперского

Ненужно.

вирус

А под слак^W линуксом это работает?

fludardes ★★ ()

я бы сходил на это в кино с Скарлетт Йоханссон

wxw ★★★★★ ()

Ну ипростыня. Что случилось? Его нагнули в темном переулке и жестко поимели?

sehellion ★★★★★ ()
Ответ на: Желтизна и off topic от Camel

При чём здесь Linux?

Видимо из-за этого - «крали информацию о новой защищенной операционной системе, которую «Лаборатория Касперского» разрабатывает для систем управления критическими производствами.»

andreyu ★★★★★ ()

tl;dr

А тут, похоже, принцип: "самый лучший пиар — это самопиар!"

Eddy_Em ☆☆☆☆☆ ()

А возможно занимать оставшуюся память, чтобы зловредам негде было размножаться? Чтобы программный код байт-в-байт использовал всю доступную память?

Moderators ★★ ()
Ответ на: комментарий от Moderators

Вон на «Вояджере-2» выход из строя одной из ячеек оперативной памяти бортовой ЭВМ — программу удалось переписать и загрузить так, что этот бит перестал влиять на неё;

Moderators ★★ ()
Ответ на: комментарий от Moderators

А возможно занимать оставшуюся память, чтобы зловредам негде было размножаться? Чтобы программный код байт-в-байт использовал всю доступную память?

Разработчики браузеров уже понемногу осваивают

goingUp ★★★★★ ()

Касперский или его работники читают LOR? Что они думают об аппаратных закладках в железе?

alman ★★★ ()
Ответ на: комментарий от andreyu

Видимо из-за этого - «крали информацию о новой защищенной операционной системе, которую «Лаборатория Касперского» разрабатывает для систем управления критическими производствами.»

Я дико извинияюсь, но главное чтобы «Лаборатория Касперского» сама не крала идеи для своей «новой защищенной операционной системы».

alman ★★★ ()

Стиль писанины ужасен. Читать неприятно, прямо как ксакеп.

takino ★★★★ ()
Ответ на: комментарий от otto

А можно краткую версию этой простыни?

Еврейские хакиры подсматривали за переговорами по ядерной программе с помощью веб-камер. Также специалист касперского ВНЕЗАПНО обнаружил, что тазики в их офесе насквозь протроянены вирусами, созданными «самыми могущественными спецслужбами планеты»

goingUp ★★★★★ ()
Ответ на: комментарий от takino

Дальнейшее расследование показало, что «пациентом зеро» стал

Дальше не читал.

Jayrome ★★★★★ ()

Касперычу уже лениво свои поделия через интернет-кафе распространять. Теперь он тупо закидывает их на свои же компы, а потом хероически обнаруживает.

Miguel ★★★★★ ()

Ох уж эти сказки. Ох уж эти сказочники.

Relan ★★★★★ ()

Из начала простыни я понял, что лаборатория касперского участвовала в переговорах по иранской ядерной программе. Дальше читать стоит?

imul ★★★★★ ()

С разморозкой :)

AP ★★★★★ ()

Тех самых торжеств, на которых были практически все мировые лидеры, не считая Путина и Обамы.

Так может поэтому они и не поехали? :)

static_lab ★★★★★ ()
Ответ на: ШВИР от J

э? шома больше не модератор? можно ссылочку на драму?

next_time ★★★★★ ()
Ответ на: комментарий от alman

Я дико извинияюсь, но главное чтобы «Лаборатория Касперского» сама не крала идеи для своей «новой защищенной операционной системы».

А они и не крадут, они заимствуют :)

andreyu ★★★★★ ()

за которым почти наверняка стоит правительство одной ближневосточной страны

Ага ага.
Так же как последний взлом во Франции на ISIS пытались свалить.

grim ★★★☆ ()

«Лаборатория Касперского» обнаружила еще один чрезвычайно сложный вирус

Обнаружила не где-нибудь, а в своих собственных внутренних сетях

Вирус занимал большую часть оперативной памяти, снижал производительность системы, не давал устанавливать программы и не желал удаляться сам - я угадал?

uin ★★★ ()

Вытаскивая на свет божий вирусы, созданные самыми могущественными спецслужбами планеты

Духовненько.

Vit ★★★★★ ()

Если в кране нет воды

Теперь хакерам придется найти другой инструмент для выполнения своих целей.

Windows 10?

FedyaPryanichkov ★★ ()
Ответ на: комментарий от next_time

Нет, Шома, больше не сотрудник лабаратории Касперского.

J ★★★★ ()
Ответ на: комментарий от Moderators

занимать оставшуюся память, чтобы зловредам негде было размножаться

У меня подозрение, что это прерогатива самих зловредов. Форк-бомбы всякие и прочее.

al_exquemelin ★★★ ()

В «Лаборатории Касперского» полагают, что для этого была использована уязвимость в протоколе Kerberos, которую Microsoft закрыла аж в ноябре прошлого года, но обновления — они для лохов, поэтому фикс не был установлен сразу по появлению.

//фиксед

INFOMAN ★★★★★ ()
Ответ на: Желтизна и off topic от Camel

Хоть бы комментарий дали, что этим буратинам стоило бы использовать Debian, а не Решето 2003 Server на серверах.

Думаешь для дебиана не найдется несколько 0-day дыр?

praseodim ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.