11 jun 2015

Kaspersky Lab investiga ataque de hackers em sua própria rede

Notícias Segurança

Eu tenho boas e más notícias.

A má notícia

A má notícia é que descobrimos um ciberataque avançado em nossas próprias redes internas. Foi extremamente complexo, sigiloso e explorava várias vulnerabilidades zero-day. Temos razões para acreditar que o ataque, que decidimos chamar de Duqu 2.0, contou com o apoio de um Estado Nação. Por que escolhemos este nome? Quais semelhanças deste ataque com o Duqu original? Você pode encontrar as respostas aqui.

duqu2_w

A boa notícia  – 1) Descobrimos o ataque

A primeira boa notícia é que detectamos algo realmente grande. Na verdade, o custo de desenvolvimento e manutenção de um ataque deste tipo é colossal. O pensamento por trás do Duqu 2.0 é de uma geração à frente de qualquer coisa que tínhamos visto antes – ele usa uma série de truques que tornam realmente difíceis de detectá-lo e neutralizá-lo. Parece que os criadores do Duqu 2.0 estavam totalmente confiantes de que seria impossível revelar sua atividade clandestina. No entanto, nós conseguimos detectá-lo com a versão alpha da nossa solução Anti-APT, projetada para combater os ataques direcionados mais sofisticados.

A boa notícia – 2) Nossos clientes estão seguros

O mais importante é que nenhum dos nossos produtos ou serviços foram comprometidos, ou seja, nossos clientes não enfrentam nenhum risco relacionado ao ataque.

Os detalhes

Os nossos primeiros avanços na investigação nos indicaram que os cibercriminosos buscavam aprender sobre as nossas tecnologias, particularmente nosso Secure Operating System, Kaspersky Fraud Prevention, Kaspersky Security Network e nossa solução anti-APT. Os bandidos também queriam saber mais sobre nossas investigações em curso e aprender sobre os nossos métodos de detecção e capacidade de análise. Desde que a Kaspersky Lab é reconhecida a nível mundial pela sua luta bem sucedida contra as ameaças mais sofisticadas, eles pretendiam empregar esta informação para permanecer fora do nosso radar. Impossível.

O certo é que nos atacar não foi uma jogada inteligente. Os cibercriminosos acabam de perder uma estrutura tecnológica muito avançada que provavemente estiveram desenvolvendo por anos. Além disso, eles tentaram espionar nossas tecnologias … as que qualquer pessoa pode acessar comprando uma licença (pelo menos a maioria delas)

Descobrimos que o grupo por trás do Duqu 2.0 também espionou vários alvos importantes a nível mundial, incluindo os participantes das negociações internacionais sobre o programa nuclear do Irã, e sobre o 70º aniversário da libertação de Auschwitz. Embora a investigação interna ainda esteja em andamento, estamos confiantes de que a prevalência deste ataque é muito mais amplo e incluiu objetivos de primeiro nível de vários países. No entanto, também acho que é muito provável que depois que detectamos o Duqu 2, os cibercriminosos por trás do ataque limparam sua presença nas redes infectadas para evitar a exposição.

Da nossa parte, nós utilizaremo este ataque para melhorar nossas tecnologias defensivas. Todo o conhecimento novo é útil, e as ameaças de inteligência avançada nos ajudam a desenvolver uma melhor proteção. É claro, já adicionamos a detecção de Duqu 2.0 nos nossos produtos. Assim que, de fato, não há realmente nenhuma má notícia aqui.

Como mencionamos, a nossa investigação ainda está em andamento; que vai exigir mais algumas semanas para obter todos os detalhes. No entanto, já comprovamos que o código-fonte dos nossos produtos está intacto. Podemos confirmar que nossos bancos de dados de malware não foram afetados, e que os atacantes não tiveram acesso aos dados dos nossos clientes.

Você devem se perguntar por que neste momento decidimos divulgar esta informação, ou se temos medo de que isto pode prejudicar nossa reputação.

Bom, em primeiro lugar, não revelar esta notícia seria como não relatar um acidente de carro com vítimas à polícia. Além disso, conhecemos bem a anatomia dos ataques direcionados para entender que não há nada de que se envergonhar na divulgação deste tipo de ataque, isso pode acontecer com qualquer um. Lembre-se: só existem dois tipos de empresas – aquelas que foram atacadas e aquelas que não sabem que foram atacadas.

Além disso, ao revelar o ataque: enviamos um sinal ao público; questionamos a validade e a moralidade dos atques que acreditamos que foram patrocinados pelo Estado contra empresas privadas em geral e empresas de segurança, em particular. E compartilhamos nosso conhecimento com outras empresas para ajudá-los a proteger seus ativos. Mesmo que isto faça mal a nossa “reputação”, a gente não se importa. Nossa missão é salvar o mundo, e isto não admite concessões.

 

Quem está por trás do ataque? Que nação?
Deixe-me dizer isso de novo: nós não atribuimos os ataques a ninguém. Nós somos especialistas em segurança, os melhores, e não queremos prejudicar nossa principal competência de como se deve fazer política. Ao mesmo tempo, como partidários comprometidos com a divulgação responsável temos denunciado às autoridades competentes em vários países para que comecem as investigações criminais. Também temos informado do ataque zero-day para a Microsoft, que por sua vez foi parcheado recentemente, (não se esqueça de instalar a atualização do Windows).

Eu só quero deixar todo mundo fazer o seu trabalho e ver comoo mundo muda para melhor.

Resumindo, eu gostaria de compartilhar uma preocupação muito séria.

Que os governos ataquem as empresas de segurança informática é simplesmente escandaloso. Nós deveríamos estar no mesmo lado que as nações responsáveis, compartilhando o objetivo comum: um mundo cibernético protegido e seguro. Nós compartilhamos os nossos conhecimentos para combater o cibercrime e ajudar que as investigações se tornem mais eficazes. Há muitas coisas que podemos fazer juntos para tornar este mundo cibernético um lugar melhor. Mas agora vemos que alguns membros desta “comunidade” não têm nenhum respeito às leis, ética profissional ou o senso comum.

As pessoas que vivem em casas de vidro não devem atirar pedras.

Para mim, é mais um sinal claro de que precisamos de regras a nível mundial para coibir a espionagem digital e evitar a ciberguerra. Se vários grupos, muitas vezes ligados ao governo, tratam a Internet como um faroeste sem regras e fora do controle, com total impunidade, o progresso global sustentável das tecnologias da informação estará em sério risco. Então, mais uma vez, eu convoco todos os governos responsáveis ​​para se unirem e chegar a um acordo sobre este tema, e para lutar contra a cibercriminalidade, não para patrociná-la e promovê-la.

Tradução: Juliana Costa Santos Dias