Kaspersky infekterat av nation-state malware


2015-06-12, 13:17 Publicerat av: Alexander Hvidt-Andersén

Duqu 2.0

Ett sofistikerat malware som uppskattningsvis har kostat 50 miljoner dollar att utveckla upptäcktes tidigare i år av Kaspersky Labs. Duqu 2.0, som det blivit benämnt, är skapat för sprida sig igenom ett företags nätverksinfrastruktur och sedan tillåta attackeraren att spionera efter behag. Detta verktyg innehåller minst en opublicerad sårbarhet (sk zeroday, CVE-2015-2360), använder sofistikerade metoder för att eskalera sina rättigheter och huserar nästan exklusivt i en dators minne. Med detta i åtanke drar Kaspersky Labs slutsatsen att detta malware är skapat av en nation.

Utöver Kaspersky Labs har även Duqu 2.0 lokaliserats hos fler företag. Enligt säkerhetsföretaget Symantec har det även påträffats hos dessa företag; ett europeiskt telecom företag, ett afrikanskt telecom företag samt ett asiatiskt elektronik företag. Även datorer i följande länder har Duqu 2.0 påträffats i; USA, UK, Indien, Hong Kong samt Sverige.

Kaspersky Labs har en teori om att vissa mål har blivit utvalda tack vare deras deltagande i internationella förhandlingar om Irans kärnkraft. Symantec utvecklar det här och menar att Duqu och dess varianter har använts för att utföra multipla kampanjer av spionage. Vissa mål anses vara utvalda för att utveckla förståelse av försvar (exempelvis anti-virus företag) och därför vara delmål, istället för ett av dess slutgiltiga mål.

Duqu 2.0 antags ha infekterat Kaspersky Labs genom att aktören har skickat ett e-mail (spear-phishing) med malware till anställda på företaget, detta är dock i nuläget endast spekulationer. Motivering är att en av datorerna som antags vara infekteringsursprunget har fått mailbox samt webbhistorik raderad för att dölja information. Intrånget upptäcktes när Kaspersky Labs testade en ny produkt som de håller på att utveckla på sitt nätverk.

Om Duqu 2.0

Duqu 2.0 möjliggör det för attackeraren att öppna upp en bakdörr in i systemet. Genom denna bakdörr kan sedan ytterligare kod laddas för att sedan exekveras i minnet. Det är denna ytterligare kod som utgör själva spionageplattformen.

Minst en zeroday upptäcktes i koden och Kaspersky Labs tror att det vid infektering fanns det även två till, de är dock i nuläget patchade. Ifall dessa sårbarheter är patchade kommer ej Duqu 2.0 att fungera. Dock är det högst troligt att med tanke på projektets omfattning så äger skaparna fler av dessa sårbarheter.

För att sprida sig i nätverket använder Duqu 2.0 sig utav en attack (CVE-2014-6324) för att eskalera sina rättigheter till domain admin. Efter detta skedde observerade även Kaspersky Labs att Duqu 2.0 utförde en sk "pass the hash"-attack för att sprida sig.

Källor 

Sophisticated Cyberespionage

Technical pdf - Duqu 2.0

Duqu 2.0 FAQ

Symantec om Duqu 2.0


comments powered by Disqus