A biztonsági cégek sincsenek biztonságban. Tegnap maga a cégfőnök, Eugene Kaspersky (a fenti képen) jelentette be, hogy tavasszal fedeztek fel egy támadást, amely a Kaspersky Lab legújabb technológiáit szerette volna kikémlelni. Az alapító-vezérigazgató elismerte, hogy a támadók ugyan hozzáfértek néhány fájlhoz, ám azok nem voltak kritikusak a termékfejlesztések szempontjából. A támadás az ügyfeleik adatait sem sodorta veszélybe.

A Kaspersky Lab által üzemeltetett SecureList blogon megjelent bejegyzés szerint ez az egyik legrafináltabb APT (Advanced Persistent Threat) támadás, mellyel a cég kutatói találkoztak.

A támadást indító csoport azonban nem csak a Kaspersky Lab rendszereire utazott. Hasonló módszerekkel próbálták „lehallgatni” például az iráni atomprogrammal kapcsolatos tárgyalásokban részt vevő feleket is, hogy a tárgyalásokról, a felek szándékairól szerezzenek információkat.

Pedig azt hitték, már kihalt

A támadásban egy olyan károkozó, a Duqu fejlettebb változatát vetették be, amelyet 2011 őszén már azonosítottak, és úgy tűnt, hogy azóta már nem is aktív. A Duqut a BME-n működő CrySyS Lab (Laboratory of Cryptography and System Security) fedezte fel és fejtette vissza, és ők derítették ki azt is, hogy működési mechanizmusa a hírhedt Stuxnettel rokonítja.

A Stuxnet – aminek a kifejlesztését egyébként sokan amerikai és izraeli katonai körökhöz kötik –, az első olyan, rendkívül fejlett károkozó volt, amely nem csak az informatikai rendszereket támadta, hanem azon keresztül valós fizikai károkat is tudott okozni. Elsődleges célja volt a legfontosabb iráni urándúsító üzem működésének megbénítása.

A Stuxnet persze elszabadult, és két éve már az amerikai kiberhadviselés egyik vezetője is elismerte, hogy a károkozó különféle mutációi akár az amerikai állami, katonai és ipari rendszerekre is veszélyt jelenthetnek. Az egyik ilyen veszélyes mutáció volt a magyarok által felfedezett és visszafejtett Duqu, melynek most a 2.0-s változatával támadták többek között a Kaspersky Lab rendszereit.

Pofátlanság vagy magabiztosság?

Amögött, hogy a kiberbűnözők egy biztonsági cég rendszereit támadják, a Kaspersky Lab közleménye szerint két ok húzódhat meg. Vagy nagyon magabiztosak voltak a támadók, vagy olyan hasznot reméltek rövid idő alatt, hogy nem foglalkoztak azzal, hogy a cégnél gyorsan fény derülhet a támadásukra.

A Duqu 2.0 egyébként a Windows három nulladik napi sérülékenységét használta ki – ezeket az orosz biztonsági cég információ nyomán a Microsoft már javította is. Mint azt a cég közleményében Costin Raiu, a Kaspersky elemző csapatának igazgatója kifejtette, a károkozó nem ír a merevlemezre, csak a memóriában található meg, ezért ha már működésbe lép, akkor a hagyományos vírusellenőrzőkkel nehéz elkapni. Ráadásul nem kapcsolódik közvetlenül vezérlőszerverekhez, hanem a hálózati átjárók és tűzfalak fertőzésével irányítja a forgalmat a vezérlőszerverekre.

Az eset kapcsán Eugene Kaspersky hangsúlyozta, cége továbbra is transzparensen kíván működni, legalábbis abban az értelemben, hogy válogatás nélkül feltár és nyilvánosságra hoz bármiféle kibertámadást, amit felderít. A cégvezető ezzel valószínűleg azokra a vádakra reagál, melyek szerint a vállalat szoros kapcsolatot ápol az orosz titkosszolgálatokkal. Mint azzal korábban a Bitport is foglalkozott, egyesek azzal vádolták az orosz biztonsági céget, hogy elsősorban olyan visszaéléseket derít fel, melyeket valamilyen módon az Egyesült Államok, Izrael vagy az Egyesült Királyság kormányzatához lehet kötni.