Duqu is terug: Kaspersky Lab onthult cyberaanval op eigen bedrijfsnetwerk en gerenommeerde doelwitten over de hele wereld

• Kaspersky Lab brengt Duqu 2.0 aan het licht – een zeer geavanceerd malwareplatform dat misbruik maakt van zeker drie zero-day veiligheidslekken.
• Malware-infecties gelinkt aan P5+1 evenementen en locaties voor vergaderingen op hoog niveau tussen wereldleiders.
• Kaspersky Lab is ervan overtuigd dat zijn klanten en partners veilig zijn en dat er geen impact is op de producten, technologieën en diensten van het bedrijf.

Utrecht, 10 juni 2015 – In het vroege voorjaar van 2015 ontdekte Kaspersky Lab een cyberinbreuk die van invloed was op verschillende interne systemen. Naar aanleiding van deze bevinding startte het bedrijf een uitvoerig onderzoek, dat leidde tot de ontdekking van een nieuw malwareplatform van een van de meest ervaren, mysterieuze en krachtige dreigingsactors in de APT (Advanced Persistent Threat) wereld: Duqu.

Kaspersky Lab meent dat de aanvallers ervan overtuigd waren dat de cyberaanval niet kon worden ontdekt. De aanval bevatte een aantal unieke en eerder niet waargenomen functies en liet vrijwel geen sporen achter. De aanval maakte misbruik van zero-day kwetsbaarheden en de malware verspreidde zich, na het ophogen van de privileges tot domeinbeheerder, binnen het netwerk via MSI (Microsoft Software Installer) bestanden. Deze worden vaak gebruikt door systeembeheerders om software te implementeren op externe Windows-computers. De cyberaanval liet geen schijfbestanden of gewijzigde systeeminstellingen achter, wat detectie uiterst moeilijk maakt. De filosofie en de manier van denken van de “Duqu 2.0” groep loopt een generatie voor op alles wat tot nu toe is gezien in de APT-wereld.

Onderzoekers van Kaspersky Lab ontdekten dat het bedrijf niet het enige doelwit was van deze krachtige dreigingsactor. Andere slachtoffers werden gevonden in westerse landen, maar ook in landen in het Midden-Oosten en Azië. Het meest opvallend was dat enkele van de nieuwe 2014-2015 infecties waren gelinkt aan de P5+1 evenementen en locaties met betrekking tot de onderhandelingen met Iran over een nucleaire overeenkomst. De dreigingsactor achter Duqu lijkt aanvallen te hebben uitgevoerd op de locaties waar deze gesprekken op hoog niveau plaatsvonden. Behalve op de P5+1 evenementen voerde de Duqu 2.0 groep soortgelijke aanvallen uit naar aanleiding van het 70e  jubileum van de bevrijding van Auschwitz-Birkenau. Deze bijeenkomsten werden bijgewoond door een groot aantal buitenlandse hoogwaardigheidsbekleders en politici.

Kaspersky Lab voerde een initiële beveiligings-audit en analyse uit van de aanval. De audit omvatte broncodeverificatie en controle van de bedrijfsinfrastructuur. Deze audit is nog steeds aan de gang en zal binnen enkele weken worden afgerond. Naast de diefstal van intellectueel eigendom, werden geen aanvullende indicatoren van kwaadaardige activiteiten gedetecteerd. Uit de analyse bleek dat het belangrijkste doel van de aanvallers bestond uit het bespioneren van Kaspersky Lab-technologieën, lopend onderzoek en interne processen. Er werd geen interferentie met processen of systemen gedetecteerd.

Kaspersky Lab is ervan overtuigd dat zijn klanten en partners veilig zijn en dat er geen impact is op de producten, technologieën en diensten van het bedrijf.

Cyberaanval overzicht
Tijdens een test, eerder in 2015, vertoonde een prototype van een door Kaspersky Lab ontwikkelde anti-APT-oplossing tekenen van een complexe gerichte aanval op het bedrijfsnetwerk. Na de ontdekking van de aanval werd een intern onderzoek gestart. Een team van onderzoekers, reverse engineers en malware-analisten van het bedrijf werkte continu aan het analyseren van deze uitzonderlijke aanval. Het bedrijf geeft alle technische details over Duqu 2.0 vrij via Securelist.

Voorlopige conclusies:
1.     De aanval was zorgvuldig gepland en werd uitgevoerd door dezelfde groep die achter de beruchte 2011 Duqu APT-aanval zat. Kaspersky Lab gelooft dat dit een door een staat gesteunde campagne is.
2.     Kaspersky Lab is ervan overtuigd dat het primaire doel van de aanval draaide om het vergaren van informatie over de nieuwste technologieën van het bedrijf. De aanvallers waren vooral geïnteresseerd in details over productinnovaties, waaronder Kaspersky Labs Secure Operating System, Kaspersky Fraud Prevention, het Kaspersky Security Network en Anti-APT-oplossingen en -diensten. Niet-R&D-afdelingen (verkoop, marketing, communicatie, juridisch) waren voor de aanvallers niet interessant.
3.     De door de aanvallers bekeken informatie is op geen enkele wijze cruciaal voor de werking van de producten van het bedrijf. Gewapend met informatie over deze aanval zal Kaspersky Lab de prestaties van zijn portfolio IT-beveiligingsoplossingen blijven verbeteren.
4.     De aanvallers toonden ook veel interesse in Kaspersky Labs lopende onderzoeken naar geavanceerde gerichte aanvallen; ze waren waarschijnlijk op de hoogte van Kaspersky Labs reputatie als een van de meest geavanceerde bedrijven in het opsporen en bestrijden van complexe APT-aanvallen.
5.     De aanvallers lijken misbruik te hebben gemaakt van drie zero-day veiligheidslekken. De laatste overgebleven zero-day (CVE-2015-2360) is door Microsoft op 9 juni 2015 gepatcht (MS15-061), nadat experts van Kaspersky Lab er melding van hadden gemaakt.

Het kwaadaardige programma gebruikte een geavanceerde methode om zijn aanwezigheid in het systeem te verbergen: de code van Duqu 2.0 bestaat alleen in het geheugen van de computer en probeert alle sporen op de harde schijf te verwijderen.

De grote lijnen
“De mensen achter Duqu vormen een van de meest bedreven en krachtige APT-groepen en deden al het mogelijke om onder de radar te blijven”, aldus Costin Raiu, directeur van Kaspersky Labs Global Research & Analysis Team. “Deze zeer geavanceerde aanval maakte gebruik van maximaal drie zero-day exploits, wat zeer indrukwekkend is – de kosten moeten zeer hoog zijn geweest. Om verborgen te blijven, bevindt de malware zich enkel in het kernel-geheugen. Anti-malware-oplossingen kunnen dus problemen hebben met de detectie ervan. Ook maakt het voor de ontvangst van instructies geen directe verbinding met een command and control server. In plaats daarvan infecteren de aanvallers netwerk gateways en firewalls door kwaadaardige drivers te installeren die via een proxy alle verkeer vanaf het interne netwerk naar de command and control servers van de aanvallers leiden.”

“Het bespioneren van cyberbeveiligingsbedrijven is een zeer gevaarlijke tendens. Beveiligingssoftware is de laatste beschermingslaag voor bedrijven en consumenten in de moderne wereld, waar hardware en netwerkapparatuur kunnen worden aangetast. Bovendien zullen vroeg of laat in soortgelijke gerichte aanvallen geïmplementeerde technologieën worden onderzocht en gebruikt door terroristen en professionele cybercriminelen. En dat is een zeer ernstig potentieel scenario”, aldus Eugene Kaspersky, CEO van Kaspersky Lab.

“Het rapporteren van dergelijke incidenten is de enige manier om de wereld veiliger te maken. Het helpt het beveiligingsontwerp van de enterprise-infrastructuur te verbeteren en stuurt een duidelijk signaal aan de ontwikkelaars van deze malware: alle illegale activiteiten zullen worden tegengehouden en vervolgd. De enige manier om de wereld te beschermen is door wetshandhavers en beveiligingsbedrijven dergelijke aanvallen in alle openheid te laten bestrijden. Wij zullen aanvallen altijd rapporteren, ongeacht hun oorsprong”, voegt Eugene Kaspersky hier aan toe.

Kaspersky Lab wil haar klanten en partners graag verzekeren dat het bedrijf zonder uitzondering bescherming blijft bieden tegen cyberaanvallen. Kaspersky Lab richt zich volledig op de juiste behandeling van haar klanten en het behoud van hun volledige vertrouwen; het bedrijf is ervan overtuigd dat de genomen maatregelen afrekenen met dit incident en tevens voorkomen dat een soortgelijke kwestie zich nogmaals voordoet. Kaspersky Lab heeft cyberpolitie-afdelingen in verschillende landen benaderd met officiële verzoeken om deze aanval strafrechtelijk te onderzoeken.

Kaspersky Lab wil nogmaals benadrukken dat dit slechts de voorlopige resultaten van het onderzoek zijn. Het is evident dat deze aanval een veel groter geografisch bereik en veel meer doelwitten had. Afgaande op wat het bedrijf inmiddels weet, is Duqu 2.0 echter gebruikt om een ​​complexe reeks van doelwitten op het hoogste niveau en met dezelfde gevarieerde geopolitieke belangen aan te vallen. Om deze dreiging terug te dringen, openbaart Kaspersky Lab zogenoemde Indicators of Compromise en biedt het alle geïnteresseerde organisaties graag ondersteuning.

Procedures voor bescherming tegen Duqu 2.0 zijn toegevoegd aan de producten van het bedrijf. Producten van Kaspersky Lab detecteren deze dreiging als HEUR:Trojan.Win32.Duqu2.gen.