Au début du printemps 2015, Kaspersky Lab détectait une cyber-intrusion dans plusieurs de ses systèmes internes. Suite à cette découverte, l’entreprise lançait une enquête intensive, dont le résultat fut l’identification d’une nouvelle plate-forme de malware issue d’une des APT (menaces avancées persistantes) les plus complexes, mystérieuses et puissantes : Duqu.
Kaspersky Lab pense que les auteurs étaient convaincus qu’ils ne pouvaient pas être découverts. En effet, l’attaque incluait des caractéristiques uniques, jamais vues auparavant, et n’a laissé presqu’aucune trace.
L’attaque a exploité des vulnérabilités zero-day et après avoir élevé le niveau de privilèges pour devenir administrateur domaine, elle s’est répandue dans le réseau via des fichiers MSI (Microsoft Software Installer), qui sont régulièrement utilisés par les administrateurs système pour déployer des logiciels sur des ordinateurs Microsoft distants. L’attaque n’a laissé derrière elle aucun fichier sur les disques durs et n’a modifié aucun paramètre système, rendant sa détection quasiment impossible. Le mode opératoire et la philosophie du groupe Duqu 2.0 indiquent un bond en avant d’une génération par rapport à tout ce qui a pu être observé en matière d’APT jusqu’à présent.
Les chercheurs de Kaspersky Lab ont également découvert que l’entreprise n’était pas la seule cible de ce puissant acteur. D’autres victimes ont été repérées dans les pays occidentaux, ainsi que dans certains pays du Moyen Orient et en Asie. Ainsi, certaines des nouvelles infections de 2014-2015 sont liées aux évènements du P5+1, dans le cadre de négociations avec l’Iran autour du nucléaire. L’acteur malveillant derrière Duqu semble avoir lancé des attaques contre les sites accueillant des pourparlers. En outre, le groupe Duqu 2.0 a lancé une attaque similaire en relation avec les célébrations de la libération du camp d’Auschwitz-Birkenau, en plus des événements contre le P5+1. De nombreux dignitaires étrangers et politiciens ont d’ailleurs participé à ces commémorations.
Kaspersky Lab a mené une analyse de l’attaque ainsi qu’un audit de sécurité ; ce dernier incluant la vérification des codes-sources et le contrôle de l’infrastructure de la société. L’audit, à ce jour, est encore en cours et sera finalisé dans quelques semaines. À l’exception du vol de propriété intellectuelle, aucun autre indicateur d’activité malveillante n’a été détecté. L’analyse a révélé que l’objectif premier des assaillants était d’espionner les technologies de Kaspersky Lab, les recherches en cours et les procédures internes. Aucune interférence avec les processus ou les systèmes n’a été détectée.
Kaspersky Lab est confiant dans le fait qu’il n’y a d’impact ni sur ses produits, technologies, services, ni sur la sécurité de ses clients et partenaires.
La cyber-attaque décryptée
Au début du printemps, lors d’un test, un prototype de la solution anti-APT développée par Kaspersky Lab a détecté des signes d’une attaque complexe et ciblée contre le réseau de la société. Après détection de l’attaque, une investigation interne a été lancée. Une équipe Kaspersky Lab composée de chercheurs, de « reverse engineers » et de « malware analysts » a travaillé sans relâche pour analyser cette attaque hors-norme. Le rapport incluant les détails techniques de Duqu 2.0 est publié sur Securelist :
https://securelist.com/blog/research/70504/the-mystery-of-duqu-2-0-a-sophisticated-cyberespionage-actor-returns/
Conclusions du rapport préliminaire
-L’attaque a été consciencieusement planifiée et menée par le même groupe à l’origine de l’APT Duqu, en date de 2011, devenue malheureusement très célèbre. Kaspersky Lab pense qu’il s’agit d’une campagne sponsorisée par un Etat.
-La société Kaspersky Lab est convaincue que l’objectif premier de cette attaque était l’acquisition d’informations sur les technologies qu’elle développe. Les attaquants étaient particulièrement intéressés par le détail de certaines innovations, dont le Secure Operating System développé par Kaspersky Lab, Kaspersky Fraud Prevention, KSN et les solutions Anti-APT. Les départements hors R&D, tels que le commerce, le marketing, la communication et le juridique n’ont pas été ciblés.
-Les informations auxquelles les attaquants ont eu accès ne peuvent, en aucun cas, compromettre la bonne marche de l’entreprise. Forte des informations récoltées sur cette attaque, Kaspersky Lab peut encore renforcer les performances de son portefeuille de solutions de sécurité informatique.
-Les attaquants ont aussi montré un fort intérêt pour certaines recherches autour d’attaques ciblées avancées menées actuellement par Kaspersky Lab, ce qui indique qu’ils connaissaient la réputation d’expert de l’entreprise en matière de détection et de combat des APT complexes.
-Les attaquants semblent avoir utilisé jusqu’à 3 failles zero-day. La dernière faille zero-day (CVE-2015-2306) a été patchée par Microsoft le 9 juin, 2015 après sa notification par les experts de Kaspersky Lab.
-Ce programme malveillant exploite une méthode complexe et avancée pour cacher sa présence dans le système : le code de Duqu 2.0 n’existe que dans la mémoire de l’ordinateur et tente d’effacer toute trace sur le disque dur.
Une vue d’ensemble
« Les personnes à l’origine de Duqu constituent un des groupes les plus expérimentés, qualifiés et puissants en matière d’APT ; et ils ont tout fait pour ne pas être repérés, » souligne Costin Raiu, Directeur de l’équipe Global Research & Analysis Team de Kaspersky Lab. “Cette attaque, d’une extrême complexité, a utilisé jusqu’à trois failles zero-day – ce qui est réellement impressionnant. En outre, son coût a dû être très élevé. Pour passer inaperçu, le malware résidait dans la mémoire du noyau (Kernel memory), compliquant ainsi fortement sa détection par les solutions anti-malware. Par ailleurs, cette attaque ne se connecte pas directement à un serveur de commande et de contrôle pour recevoir des instructions. À la place, les attaquants ont infecté les passerelles internet et les firewalls du réseau, en installant des drivers qui redirigent tout le trafic du réseau interne vers les serveurs C&C’s des attaquants ».
Eugene Kaspersky, CEO de Kaspersky Lab, commente: “Espionner les sociétés de cybersécurité est une tendance dangereuse. Dans ce monde moderne, où le hardware et les équipements réseaux peuvent être compromis, les logiciels de sécurité constituent la dernière barrière de protection pour les entreprises et les particuliers. Mais au-delà de cette considération, un jour ou l’autre, des technologies implémentées dans des attaques similaires seront étudiées et utilisées par des terroristes et des cybercriminels professionnels. Il s’agit d’un scénario très sérieux, et aussi très possible ».
Il ajoute: “Divulguer un tel incident est la seule façon de rendre le monde plus sûr. Cela permet d’améliorer l’architecture des infrastructures de sécurité des entreprises, et aussi d’envoyer un message clair aux développeurs de ce malware: toute opération illégale sera stoppée et poursuivie. Le seul moyen de protéger le monde est que les agences d’application de la loi et les sociétés de sécurité combattent ces attaques ouvertement. Et nous continuerons de révéler ces attaques, quelles que soient leurs origines ».
Kaspersky Lab réaffirme, ici, à ses clients et partenaires, son engagement dans la lutte contre toute cyberattaque, sans distinction. La société est convaincue que les mesures déployées suite à cet incident renforceront sa capacité à déjouer tout événement similaire. Kaspersky Lab contacte actuellement les départements de cyberpolice de différents pays pour déposer officiellement des demandes d’investigation de cette attaque.
Kaspersky Lab tient à souligner, à nouveau, qu’il ne s’agit ici que des résultats préliminaires de l’enquête. Cette attaque a une géographie bien plus large et comprend bien plus de cibles: cela ne fait aucun doute. D’après les premières conclusions de l’entreprise, Duqu 2.0 a été utilisé pour attaquer plusieurs cibles complexes de haut niveau, aux intérêts géopolitiques variés similaires.
Pour limiter les risques liés à cette menace, Kaspersky Lab publie les indicateurs de compromission (IOC) et propose son assistance et expertise à toute organisation intéressée. Les procédures pour se protéger de Duqu 2.0, reconnu comme HEUR:Trojan.Win32.Duqu2.gen ont été ajoutées aux produits de la société. Les conseils pour limiter les risques liés aux APT sont disponibles sur le blog securelist: »How to mitigate 85% of all targeted attacks using 4 simple strategies ».
Source: Kaspersky Lab