נחשףDuqu 2.0 - פלטפורמה זדונית שהדבקותיה קשורות למתחמי שיחות הגרעין עם איראן
מאת:
מערכת Telecom News, 10.6.15, 16:55
עדכון מ-22.9.15 בתחתית הכתבה.
הדבקות הנוזקה המתוחכמת, שמנצלת עד 3 פרצות יום אפס, נעשו כנראה בחסות מדינה וקשורות לאירועים בהם מתקיימים פגישות הדרג הגבוה ביותר של מנהיגי העולם. במתקפה נכללו מאפיינים מיוחדים, שלא נראו מעולם ושכמעט לא השאירו עקבות. הפילוסופיה ודרך החשיבה של קבוצת דוקו 2.0 הן דור אחד קדימה מכל מה שנראה עד כה בעולם ה-APT וריגול הסייבר.
בתחילת אביב 2015 גילתה מעבדת קספרסקי פריצות סייבר, שהשפיעו על כמה מהמערכות הפנימיות שלה. בעקבות הגילוי, פתחה החברה בחקירה מקיפה, שהביאה לגילויה של פלטפורמה זדונית חדשה של אחד האיומים המשפיעים, החזקים והמסתוריים בעולם ה-
APT וריגול הסייבר, ושמו:
Duqu.
במעבדת קספרסקי מאמינים, שהפורצים היו בטוחים, שבלתי אפשרי לגלות את מתקפת הסייבר שלהם. במתקפה נכללו מאפיינים מיוחדים, שלא נראו מעולם ואשר כמעט שלא השאירו עקבות. המתקפה ניצלה פרצות יום אפס, ולאחר שהסירה הרשאות לניהול דומיין, הקוד הזדוני התפשט ברשת דרך קבצי ה-
MSI -
Microsoft Software Installer, שבהם משתמשים מנהלי הרשת כדי להתקין תוכנה במחשבי
Windows מרוחקים. המתקפה לא השאירה מאחוריה שום קבצים בדיסק ולא שינתה הגדרות מערכת, והדבר גרם לגילוי להיות קשה במיוחד. הפילוסופיה ודרך החשיבה של קבוצת דוקו 2.0 הן דור אחד קדימה מכל מה שנראה עד כה בעולם ה-
APT.
החוקרים גילו, שהחברה לא הייתה המטרה היחידה של איום הסייבר הזה. קורבנות נוספים התגלו
במדינות מערביות נוספות, במדינות במזרח התיכון וגם באסיה. יש לציין, שחלק מהמתקפות החדשות של 2014-2015 קשורות לאירועי ומתחמי המשא ומתן עם איראן בנושא הגרעין (
P5+1). גורם האיום מאחורי דוקו שיגר מתקפות על אתרי השיחות והפגישות בהם התקיימו שיחות ברמה המדינית הגבוהה. בנוסף לארועי 5+1
P קבוצת דוקו 2.0 פתחה במתקפות דומה כנגד הארוע לזכר 70 שנה לשחרור אושוויץ-בירקנאו. בפגישות אלה נכחו דיפלומטים ופוליטיקאים מכל העולם.
החוקרים ביצעו בקרת אבטחה ראשונית וניתוח של המתקפה. הבקרה כללה אימות קוד מקור ובדיקה של תשתית החברה. הביקורת עדיין נמשכת ותושלם בעוד מספר שבועות. מעבר לגניבה של נכסים בלתי מוחשיים, אין סימן נוסף לפעילות זדונית. הניתוח חשף, שהיעד המרכזי של התוקפים היה לרגל אחר טכנולוגיות מעבדת קספרסקי, המחקר המתמשך ותהליכים פנימיים. לא נרשמה הפרעה לתהליכים או מערכות.
מעבדת קספרסקי בטוחה, שהלקוחות והשותפים שלה מוגנים ואין השפעה על מוצרים, טכנולוגיות ושירותי החברה.
סקירת המתקפה
מוקדם יותר בשנת 2015, במהלך מבחן שבוצע, אב טיפוס של פתרון נגד מתקפות
,APT שפותח ע"י מעבדת קספרסקי, הראה סימנים של מתקפה ממוקדת מורכבת על תשתית הרשת הארגונית. לאחר שההתקפה נחשפה החלה חקירה פנימית. צוות של חוקרי החברה, מומחי
reverse engineering ואנליסטים של קוד זדוני, עבדו מסביב לשעון כדי לנתח את המתקפה יוצאת הדופן. החברה פרסמה פרטים טכניים אודות
Duqu 2.0 –
כאן.
מסקנות ראשוניות:
1. המתקפה תוכננה בזהירות והוצאה לפועל ע"י אותה קבוצה, שעמדה מאחורי מתקפת ה-
Duqu ב-2011. מעבדת קספרסקי מאמינה, שמדובר בקמפיין בחסות מדינה.
2. מעבדת קפסרסקי מאמינה, שהיעד המרכזי של המתקפה היה לאסוף מידע אודות הטכנולוגיות החדשות ביותר של החברה. התוקפים היו מעוניינים במיוחד בפרטים אודות חדשנות במוצרים, כולל מערכת ההפעלה המאובטחת של מעבדת קספרסקי, מניעת הונאות של קספרסקי, ופתרונות ושירותי אבטחת רשת ונגד הונאות. מחלקות, שאינן קשורות למחקר ופיתוח (מכירות, שיווק, תקשורת, משפטים), נותרו מחוץ למוקד העניין של התוקפים.
3. המידע, שנאסף ע"י התוקפים, בשום אופן אינו חיוני לפעילות מוצרי החברה. כשהיא חמושה במידע אודות המתקפה, מעבדת קספרסקי תמשיך לשפר את הביצועים של מערך פתרונות אבטחת ה-
IT שלה.
4. התוקפים גם הראו עניין רב בחקירות הנוכחיות, שמקיימת מעבדת קפסרסקי לגבי מתקפות מתקדמות ממוקדות. סביר להניח, שהם מודעים היטב למוניטין של החברה כאחת מהמתקדמות ביותר בזיהוי ולחימה במתקפות
APT מורכבות.
5. נראה, שהתוקפים ניצלו עד ל-3 פרצות יום אפס. הפרצה האחרונה (
CVE-2015-2360) נסגרה ע"י מיקרוסופט ב-9.6.15
(MS15-061), לאחר שמומחי קספרסקי דיווחו לגביה.
תוכנת הקוד הזדוני השתמשה בשיטה מתקדמת כדי להסתיר את נוכחותה במערכת: הקוד של
Duqu 2.0 קיים רק בזיכרון המחשב ומנסה למחוק כל זכר ממנו בדיסק הקשיח.
התמונה הגדולה
קוסטין ראיו, מנהל צוות המחקר והניתוח הבינלאומי של מעבדת קספרסקי: "האנשים מאחורי
Duqu הם מהמוכשרים והעוצמתיים ביותר מבין קבוצות ה-
APT, והם עשו כל דבר אפשרי כדי להישאר מתחת למכ"מ. מתקפה מתוחכמת ביותר זו השתמשה בעד ל-3 פרצות יום אפס, שזה מרשים ביותר - העלויות היו כנראה מאוד גבוהות. כדי להישאר מוסתר, הקוד הזדוני נשמר רק בזיכרון הקרנל, כך שלפתרונות אנטי קוד זדוני יש בעיה לזהות אותו. הוא גם לא מתחבר ישירות לשרתי פיקוד ושליטה כדי לקבל הוראות. במקום זאת, התוקפים מדביקים את שערי הגישה והפיירוול באמצעות התקנת דרייברים זדוניים, אשר מבצעים פרוקסי של כל התעבורה מהרשת הפנימית אל שרתי הפיקוד והשליטה של התוקפים".
יוג'ין קספרסקי, מנכ"ל מעבדת קספרסק: "ריגול אחר חברות אבטחת סייבר היא מגמה מסוכנת מאוד. תוכנת אבטחה היא הקו האחרון של הגנה עבור עסקים ולקוחות בעולם המודרני, והדבר מעמיד ציוד חומרה ורשת בסיכון. יותר מכך, במוקדם או במאוחר, טכנולוגיות, שהוטמעו במתקפות ממוקדות דומות, תיבחנה ותשמשנה טרוריסטים ועבריינים מקצועיים. זהו תרחיש רציני ביותר ואפשר.
דיווח על אירועים כאלה הוא הדרך היחידה להפוך את העולם למאובטח יותר. הדבר מסייע לשפר את תכנון האבטחה של תשתיות ארגוניות ושולח מסר ברור למפתחים של הקוד הזדוני: כל הפעילות הבלתי חוקית תיעצר והאחראים יועמדו לדין. הדרך היחידה להגן על העולם היא, שרשויות החוק וחברות אבטחה תילחמנה במתקפות בצורה פתוחה. אנו תמיד נדווח על מתקפות ללא קשר למקור שלהן".
החברה בטוחה, שהצעדים שננקטו טיפלו באירוע זה ויסייעו למנוע בעיות דומות מלחזור על עצמן. היא יצרה קשר עם מחלקות סייבר בגופי אכיפת החוק במדינות שונות עם בקשה רשמית לחקירה פלילית של המתקפה".
החברה מדגישה, שאלו הן רק תוצאות ראשוניות של החקירה. אין ספק, שהתקפה זו היא רחבה בהרבה מבחינה גיאוגרפית ומקיפה הרבה יותר מטרות. אבל, עפ"י מה שהחברה כבר יודעת,
Duqu 2.0 שימש כדי לתקוף טווח מורכב של מטרות ברמות הגבוהות ביותר עם תחומי עניין גיאופוליטיים דומים. כדי למזער את האיום.
תהליכים להגנה מפני
Duqu 2.0 הוספו למוצרי החברה. מעבדת קספרסקי מזהה איום זה כ:
HEUR:Trojan.Win32.Duqu2.gen
הדו"ח המלא - כאן.
הערה: העיתון וול סטריט ג'ורנל חושד, שהדוקו 2.0 נוצר בישראל ונועד לצורך מעקב אחר שיחות הגרעין של איראן עם המעצמות במלונות באירופה.
עדכון 22.9.15:ה-
Independent הבריטי מצטט
אתר חדשות בשווייץ הטוען, שלאחר הגילויים הנ"ל של מעבדות קספרסקי, נפתחה חקירה בשוויץ, והחוקרים מומחי סייבר בשוויץ הגיעו למסקנה, ששירותי הביטחון של ישראל עמדו מאחורי פרצת האבטחה בעת שיחות הגרעין בין איראן והמעצמות בבתי מלון באוסטריה ובשווייץ כמו במלון
President Wilson בג'נבה, ושהעלות הייתה 50 מיליון דולרים:
Swiss investigators had discovered that the cyber attackers had infiltrated surveillance cameras at top hotels used for the Iran talks in Switzerland and Austria using a highly sophisticated $50m Trojan programme, which had almost certainly been developed by the Israeli secret service
נטען גם, שתכנון משימת הפשיטה על המלון President Wilson בג'נבה היה מסובך בגלל שחלק מצוות האבטחה שם עבד קודם לכן עבור שירותי הביטחון הישראלי:
police cyber crime experts raided President Wilson hotel. Preparing the raid had been a difficult operation because several of the hotel’s own security staff had previously worked for the Israeli secret services
בנוסף, בתוכנת המחשב, שהוחרמה בבית המלון, נמצאה הדבקה ב-Duqu 2.0:
Material confiscated from the hotel included software which showed that its computer system had been infiltrated by a sophisticated surveillance programme known as Duqu 2, similar to the Duqu Trojan once known to have been used by Israeli intelligence
The cyber attackers had used the Trojan to gain access to the hotel’s surveillance cameras and microphone systems. It said the Trojan was also used to infiltrate the same systems at the Beau Rivage Palace Hotel in Lausanne which was also used for Iran nuclear talks in the summer
עם זאת, יהיה קשה לרשויות להגיש כתב אישום נגד ישראל ע"ס החשדות שלהן ובאינדפנדט טוענים, שלא ניתן היה לקבל את תגובת שגרירות ישראל בשווייץ.
