A principios de la primavera de 2015, Kaspersky Lab detectó una ciberintrusión que afectaba a varios de sus sistemas internos. A raíz de este descubrimiento, la compañía puso en marcha una investigación que llevó al descubrimiento de una nueva plataforma de malware de uno de los actores más hábiles, misteriosos y poderosos del mundo APT (ataques avanzados persistentes): Duqu.
Para Kaspersky Lab, los ciberatacantes estaban muy seguros de que era imposible descubrir el ataque, ya que incluía algunas características únicas e invisibles para que apenas dejase rastro.
El ataque explota vulnerabilidades zero-day y tras la elevación a privilegios de administrador de dominio, el malware se propaga en la red a través de la instalación de paquetes MSI (Microsoft Software Installer), que son los archivos que los administradores de sistemas utilizan habitualmente para instalar software en equipos Windows en remoto.
El ciberataque no realizaba cambios en el disco de la víctima o en la configuración del sistema, lo que hacía muy difícil la detección. La filosofía y la forma de pensar del grupo "Duqu 2.0" nos muestra una generación más avanzada, que va por delante de todo lo visto en el mundo APT.
Espiando el acuerdo nuclear
Los analistas de Kaspersky Lab descubrieron que la empresa no era el único objetivo de este poderoso actor.
Se han encontrado otras víctimas en países occidentales, así como en países de Oriente Medio y Asia.
En particular, algunas de las nuevas infecciones entre 2014-2015 están vinculadas a los eventos P5+1 y lugares relacionados con las negociaciones con Irán sobre un acuerdo nuclear.
El actor que está detrás de Duqu parece haber lanzado ataques en los lugares donde se produjeron estas negociaciones. Además de los eventos P5+1, el grupo Duqu 2.0 lanzó un ataque similar relacionado con el 70 aniversario de la liberación de Auschwitz-Birkenau.
A estas reuniones asistieron muchos dignatarios y políticos extranjeros. Kaspersky Lab realizó una auditoría de seguridad inicial y un análisis del ataque.
La auditoría incluyó la verificación del código fuente y la comprobación de la infraestructura corporativa.
La auditoría está todavía en curso y se completará en unas pocas semanas. Además del robo de propiedad intelectual, no se detectaron otros indicadores de actividad maliciosa.
El análisis reveló que el principal objetivo de los atacantes era espiar las tecnologías de Kaspersky Lab, la investigación en curso y procesos internos.
No se detectó interferencia con procesos o sistemas.