Hackearam a empresa de segurança Kaspersky Lab

A empresa de segurança russa Kaspersky Lab descobriu recentemente que um grupo poderoso e misterioso de hackers que usam uma ameaça persistente avançada (APT) conhecida como Duqu quebrou seus sistemas, explorando um dia zero no kernel do Windows. De 2012 até hoje, nenhuma outra atividade foi registrada no ciberespaço relacionada ao Duqu, uma plataforma usada para espionagem cibernética.despejar a Kaspersky Lab

No entanto, as infecçÔes foram causadas por uma nova versão da plataforma (chamada Duqu 2). O novo malware apareceu em 2014 e continua a existir até hoje nos países ocidentais.

A vulnerabilidade de dia zero usada pelo malware Ă© o CVE-2015-2360, que foi corrigido pela Microsoft na Ășltima terça-feira. A Kaspersky diz que uma ou duas vulnerabilidades foram usadas no ataque aos seus sistemas.

Os pesquisadores dizem que o ataque inicial começou em um de seus menores escritórios na região asiåtica e que emails de spear-phishing podem ter sido usados.

“MĂłdulos maliciosos foram observados tentando lançar ataques ‘pass the hash’ na rede local, dando efetivamente aos atacantes muitas maneiras diferentes de realizar movimentos laterais”, diz a Kaspersky Lab.

Mais de 100 variantes de plugins malicioso foram identificadas

O Duqu 2 usa vĂĄrias tĂĄticas para se espalhar pela rede e, na maioria dos casos, o ataque foi realizado com o suporte do Microsoft Windows Installer (pacotes MSI que podem ser operados remotamente em outros computadores).

Os arquivos MSI podem carregar a memĂłria de software malicioso e abrir backdoors para fins de espionagem dos atacantes.

O módulo principal do Duqu 2 implementa manipulaçÔes para comunicação com o centro de comando e controle ou servidor C&C e usa muitos protocolos de conexão proxy e certificados HTTPS autoassinados.

O objetivo do ataque à rede da Kaspersky Lab parece ser espionar a tecnologia usada e a desenvolvida pela empresa. No entanto, a investigação estå sendo continuada por especialistas em segurança e descobriremos mais detalhes posteriormente.

A anĂĄlise de malware mostrou que ele poderia coletar dados de processos em execução nas sessĂ”es da ĂĄrea de trabalho e do terminal. Ele tambĂ©m pesquisou, gravou e executou arquivos como “* .inuse, * .hml”, o nome do arquivo contĂ©m “data.hmi” ou “val.dat”, alĂ©m do conteĂșdo de pastas especĂ­ficas.

A Kaspersky Lab estå confiante de que essa violação não afetarå seus produtos, tecnologias e serviços e que seus clientes e parceiros estão seguros.