Hackearam a empresa de segurança Kaspersky Lab

A empresa de segurança russa Kaspersky Lab descobriu recentemente que um grupo poderoso e misterioso de hackers que usam uma ameaça persistente avançada (APT) conhecida como Duqu quebrou seus sistemas, explorando um dia zero no kernel do Windows. De 2012 até hoje, nenhuma outra atividade foi registrada no ciberespaço relacionada ao Duqu, uma plataforma usada para espionagem cibernética.despejar a Kaspersky Lab

No entanto, as infecções foram causadas por uma nova versão da plataforma (chamada Duqu 2). O novo malware apareceu em 2014 e continua a existir até hoje nos países ocidentais.

A vulnerabilidade de dia zero usada pelo malware é o CVE-2015-2360, que foi corrigido pela Microsoft na última terça-feira. A Kaspersky diz que uma ou duas vulnerabilidades foram usadas no ataque aos seus sistemas.

Os pesquisadores dizem que o ataque inicial começou em um de seus menores escritórios na região asiática e que emails de spear-phishing podem ter sido usados.

“Módulos maliciosos foram observados tentando lançar ataques ‘pass the hash’ na rede local, dando efetivamente aos atacantes muitas maneiras diferentes de realizar movimentos laterais”, diz a Kaspersky Lab.

Mais de 100 variantes de plugins malicioso foram identificadas

O Duqu 2 usa várias táticas para se espalhar pela rede e, na maioria dos casos, o ataque foi realizado com o suporte do Microsoft Windows Installer (pacotes MSI que podem ser operados remotamente em outros computadores).

Os arquivos MSI podem carregar a memória de software malicioso e abrir backdoors para fins de espionagem dos atacantes.

O módulo principal do Duqu 2 implementa manipulações para comunicação com o centro de comando e controle ou servidor C&C e usa muitos protocolos de conexão proxy e certificados HTTPS autoassinados.

O objetivo do ataque à rede da Kaspersky Lab parece ser espionar a tecnologia usada e a desenvolvida pela empresa. No entanto, a investigação está sendo continuada por especialistas em segurança e descobriremos mais detalhes posteriormente.

A análise de malware mostrou que ele poderia coletar dados de processos em execução nas sessões da área de trabalho e do terminal. Ele também pesquisou, gravou e executou arquivos como “* .inuse, * .hml”, o nome do arquivo contém “data.hmi” ou “val.dat”, além do conteúdo de pastas específicas.

A Kaspersky Lab está confiante de que essa violação não afetará seus produtos, tecnologias e serviços e que seus clientes e parceiros estão seguros.