Možná to staré rčení znáte, možná jste ho slyšeli v jedné takřka legendární scifi. „Shit happens“ totiž platí takřka univerzálně, v tomto případě se to špatné stalo Kaspersky Lab. Útok hackerů na počítačové systémy byl úspěšný a došlo ke kompromitaci.
Kaspersky Lab uvádějí, že útok byl komplexní, skrytý a využíval několik 0day zranitelností. Navíc za ním údajně stojí nejmenovaná vláda. Po zjištění a zmapování útok získal i jméno – Duqu 2.0, tedy druhá generace známého Duqu, který ale do světa vyrazil už někdy v roce 2011. A u kterého se předpokládalo, že jej původní tvůrci opustili a v pozdějších letech se vrátil pouze v rukou některých dalších útočníků.
Útok na počítače v Kaspersky Lab využíval 0day zranitelnost v jádře Windows (CVE-2015–2360) a velmi pravděpodobně až další dvě doposud neopravené zranitelnosti, které fungovaly jako 0day v době útoku. Cílem útoku mělo být proniknutí do systémů Kasperky Lab a špionáž – technologická, ale i co se výzkumů a interních procesů týče. Případné detaily je možné najít v The Duqu 2.0 – Technical Details (PDF).
Mimo pevné disky
Útok začal zacílením na zaměstnance v jedné z menších kanceláří společnosti, pravděpodobně s pomocí e-mailu. Po úspěšném napadení počítače následovalo klasické zkoumání prostředí – opět s využitím 0day (CVE-2014–6324) – a získáním správcových práv k doméně a následnému infikování dalších počítačů. Tam už je to vcelku jednoduché, protože stačí připravit MSI balíčky a nasadit je na další stroje s pomocí klasického MSIEXEC.EXE. Vlastní instalovaný software už ale zdaleka tak triviální není, používá několik způsobů šifrování a různé techniky znesnadňující objevení.
Výsledkem je napadený počítač, kde je k dispozici vzdálený backdoor o poměrně malé paměťové velikosti, a také kompletní platforma pro špionáž s podstatně většími nároky na paměť. To vše šířené periodicky doménovými řadiči a schopné využít pokročilé možností pluginů, které mohou dodávat další potřebné funkčnosti. Špionážní funkce zahrnují řadu možností – snímání klávesnice, práci se soubory, přístup do databází, záznamy provozu na síti a řadu dalších možností.
Další zajímavostí u Duqu 2.0 je, že malware žije hlavně v paměti počítačů a využívá k tomu prioritně systémů, u kterých je jasné, že fungují dlouhodobě a bez vypínání či restartů. Tyto systémy pak následně infikují další počítače v síti. Neukládat data na disky je jednou z cest, jak se vyhnout možné detekci. Nevýhoda, kterou by přineslo například náhlé vypnutí všech počítačů, je eliminována instalováním ovladačů do malého množství počítačů, které mají přímou internetovou konektivitu. Tyto počítače pak slouží pro tunelování z internetu do vnitřní sítě.
Podstatnou součástí je klasický C&C (Command and Control) mechanismus umožňující vzniklou síť kompromitovaných počítačů řídit – u Duqu je zajímavé, že řídící data jsou přenášeny jako součást jinak neškodných souborů – u verze z roku 2011 šlo o JPEG, v novějších verzích je to navíc ještě GIF.
Útok sice úspěšný, nic víc se nepodařilo
Vraťme se ale zpět k úspěšné kompromitaci počítačů a sítě v Kaspersky Lab. Tu se podařilo odhalit, částečně i prostřednictvím nově vyvíjených bezpečnostních řešení. Jakkoliv se útočníkům podařilo dostat dovnitř, nic dalšího podstatného se jim podle firmy provést nepovedlo – žádné produkty ani služby nebyly kompromitovány.
Zkoumání a vyšetřování stále probíhá, pro Kaspersky Lab může být odhalení útoku a získání technologií k němu použitých nakonec i poměrně užitečnou událostí. Firma dostala do rukou kompletní útočný arzenál a může zlepšit detekční i ochranné mechanismy.
Objevené 0day bylo nahlášeno Microsoftu, ten už je opravil. Odkud útok pocházel, Kaspersky Lab nezveřejní, ale říkají, že v několika zemích předali informace příslušným orgánům, aby bylo možné zahájit tamní šetření.