Kā Izraēlas hakeri beidzot uzlauza 'Kaspersky' antivīrusu izstrādātāja datortīklu

Kā ‘Kaspersky Lab’ atklāja uzbrukumu

Uzņēmums atklāja "Duqu 2.0" pavisam nejauši, kad inženieris, kurš testēja jauno produktu uz kompānijas servera un ievēroja anormāli lielu datu plūsmu. Viņš sāka "rakt" un saprata, ka vairāki desmiti uzņēmuma datoru ir inficēti, ar ko "Kaspersky Lab" līdz šim nebija saskāries.

Turpmākie izmeklējumi liecināja, ka par "nulto pacientu" bija kļuvis kompānijas dators vienā no Āzijas birojiem. Tas ticis inficēts ar "zero-day-exploit" palīdzību – operētājsistēmas ievainojamība, par kuru vēl nezina datorprogrammu izstrādātāji un kurai vēl nav izstrādāts "ielāps".

Četras stundas pirms tam, kad uzņēmuma inženieri to bija sapratuši, inficētā datora e-pasta arhīvs un interneta pārlūka vēsture tika izdzēsta – acīmredzami ļaundari pamanīja, ka ir atklāti, un mēģināja slēpt pēdas. Hakeri pirmo indikatoru par savu atmaskošanu saņēma brīdī, kad "Kaspersky Lab" sāka izolēt inficētos datorus no interneta.

Kā noskaidroja "Kaspersky Lab" speciālisti, iegūstot kontroli pār pirmo datoru, ļaundari, izmantojot citu "zero-day" "caurumu", sāka "taustīties" pa uzņēmuma datortīklu līdz atrada kādu no galvenajā birojā Maskavā esošajiem. "Kaspersky Lab" pieļauj, ka šim nolūkam tika izmantota ievainojamība "Kerberos" protokolā, ko "Microsoft" salaboja tikai pērnā gada novembrī.

Atrodot interesējošos datorus, hakeri izmantoja trešo "zero-day" "caurumu", ielādējot vīrusu sistēmā un mākslīgi apejot antivīrusa datorprogrammu. Tiklīdz "Duqu 2.0" tika ielādēts datora atmiņā, tas tika izdzēsts no cietā diska un no tā brīža "dzīvoja" tikai datora operatīvajā atmiņā. Kā norāda "Kaspersky Lab" speciālisti, ļaundari bija pārliecināti par sava produkta kvalitāti un stabilitāti.

Turklāt ne uz katra inficētā datora vīruss bija pilnā apmērā – dažos bija uzstādīts tikai atsevišķs koda modulis, kas nodrošināja attālinātu piekļuvi. Ja hakeriem radās lielāka interese par konkrēto datoru, tad viņi papildināja attiecīgā datora vīrusa moduļus ar nepieciešamajiem, piemēram, lai reģistrētu uz klaviatūras nospiestos taustiņus, fiksētu ekrāna uzņēmumu, iegūtu piekļuvi failiem, parolēm utt.

"Kaspersky Lab" pagaidām nav atšifrējis visus "Duqu 2.0" koda moduļus, tomēr atklāj, ka starp tiem ir arī speciāli industriālajām sistēmām izstrādātie. Tas tikai kārtējo reizi apliecina, ka "Kaspersky Lab" nebija vienīgais un, iespējams, pat ne galvenais ļaundaru mērķis.

Protams, ja vīruss "dzīvo" tikai datora operatīvajā atmiņā, tam būtu "jāiet bojā", kad operētājsistēma tiek restartēta vai kad dators tiek izslēgts. Tieši tas arī notika. Tomēr, ņemot vērā, ka inficēts tika vesels datortīkls, tas ļaundariem neradīja īpašu risku. Viens vai divi inficētie datori pildīja "draivera" lomu – sekoja līdzi "Duqu 2.0" stāvoklim uz citiem datoriem, un, ja kādā no tiem kods bija pazudis, tas caur domēna kontrolleri atkal tika ielādēts vajadzīgā datora operatīvajā atmiņā.

Šiem vīrusa "draiveriem" bija vēl viens mērķis – komunikācija. Ja tīklā ir daudz inficētu datoru, kuros pastāvīgi tiek zagta un pārsūtīta informācija, tie visi kopā var radīt pārāk lielu aizdomīgas datu plūsmas apjomu, kas pievērstu tīkla administratora uzmanību. "Duqu 2.0" izstrādāji šī riska mazināšanai izmantoja "draiverus" kā vienīgos vārtus informācijas padevei. Visi inficētie datori komunicēja ar "draiveri", bet tas savukārt sūtīja informāciju uz āru.