Казалось бы, разработчики антивирусов должны быть лучше других защищены от хакерских атак на их сети, однако в «Лаборатории Касперского» недавно признали, что компания стала жертвой взлома. При этом точные причины, по которым в качестве объекта была избрана именно «Лаборатория», Евгений Касперский, глава компании, на специально собранной пресс-конференции в Лондоне назвать не смог.
«Взломщики проявили не только глупость, но и жадность», — заявил Касперский.
Вредонос, использованный атакующими, получил название Duqu 2.0 — по имени обнаруженного в 2011 году Duqu, который в свою очередь считается наследником печально знаменитого Stuxnet. Когда Касперского спросили, почему атакующие выбрали целью именно его компанию, он лишь поделился своими предположениями.
«Наши клиенты их не интересовали», — отметил он, указав, что при вторжении ни клиентские, ни партнерские данные скомпрометированы, по-видимому, не были.
Вредонос работал незамеченным в сети «Лаборатории» несколько месяцев. «Уверен, злоумышленники за нами наблюдали», — отметил Касперский. Он предположил, что атакующие проводили разведку в надежде выведать что-то о технологиях безопасности «Лаборатории» и принципах обнаружения и анализа вредоносов.
С помощью Duqu 2.0 были заражены корпоративные компьютеры, на которых установлена Windows. Глава «Лаборатории» считает вероятным, что это было сделано в попытке выяснить, какие вредоносные программы специалисты компании отбирали для ручного анализа.
Подавляющее большинство собранных вредоносов, как и в любой крупной антивирусной компании, в «Лаборатории Касперского» обрабатывают и классифицируют с помощью автоматизированных систем, которые также генерируют сигнатуры, отправляемые на клиентские устройства. Лишь изредка код, применяемый для атак, бывает достаточно интересным и выделяющимся на общем фоне, чтобы для его изучения было оправданно участие человека.
Сведения о том, в каких именно случаях принимается решение о более пристальном рассмотрении отдельных вредоносов, могли бы быть ценными для хакерских групп или спецслужб, позволив им разработать код для атак, который с большей вероятностью будет передан машинам. Те будут анализировать его наряду с миллионами других и могут попросту не заметить истинного назначения такого вредоноса.
«Разумеется, злоумышленники хотят знать, чем занимаются исследователи и каковы их последние достижения, — отметил Тод Бирдсли, директор по разработке Rapid7. — Они хотят выяснить, опережают ли их исследователи. Те организуют проекты по анализу технологий взлома, а другая сторона делает то же самое в отношении исследовательских методов. Контроль над сетями антивирусной компании дает злоумышленнику огромные преимущества. Оперативные разведданные будут крайне ценными — они позволяют выиграть время на подготовку к следующему нападению».
Располагая знаниями о противнике, хакеры получили бы возможность обходить средства безопасности, созданные в «Лаборатории Касперского».
Однако глава российской компании отверг предположения о том, что в результате многомесячного присутствия в сети «Лаборатории» взломщики получили какую-то значимую информацию о ее технологиях. По словам Касперского, они не смогли бы узнать ничего ценного, даже добыв исходные коды, но последнего и не произошло. «Наши технологии очень быстро обновляются, — заявил он. — Мы постоянно вносим какие-то изменения. Не исключено, что взломщики интересовались какими-то конкретными атаками, которые мы анализировали, а может быть, они просто хотели выяснить, сумеем ли мы их поймать».
В посте в блоге Forbes Касперский также написал: «Могу представить себе несколько причин, по которым кому-то могло понадобиться красть наши технические данные, но ни одна из них, похоже, не стоит риска быть обнаруженной».
А именно это и произошло со злоумышленниками.
«Теперь мы знаем, как поймать разработанный ими тайный вредонос нового поколения, — продолжил Касперский. — И им придется все начинать с чистого листа, поскольку мы раскрыли их платформу для всей индустрии информационной безопасности. Не буду ничего говорить о моральных соображениях, но вряд ли это хороший результат серьезных государственных капиталовложений». Касперский до этого высказывал убежденность в том, что Duqu 2.0 был создан хакерской командой на государственном финансировании.
Бирдсли и Касперский сошлись во мнении, что Duqu 2.0 — вредоносная программа высшего технического уровня.
«Безусловно, это что-то потрясающее, — заявил Бирдсли. — Данный вредонос — определенно высокое достижение. У него модульная структура, он способен использовать одну уязвимость нулевого дня за другой и применяет новые методы сигнализации и видоизменения».
В отличие от большинства вирусов, Duqu 2.0 почти постоянно находится целиком в оперативной памяти, что затрудняет его распознавание средствами безопасности.
Касперский в связи с этим предложил необычное, но эффективное решение по избавлению от вредоноса: «Технически это просто: отключите питание, и система очистится».