Duqu 2.0: мощная кибершпионская группировка снова в игре

Техническое описание Duqu 2.0 PDF (ENG)
Индикаторы заражения
Правила Yara
Duqu 2.0: вопросы и ответы
Пресс-релиз

В этом году в ходе проверки безопасности «Лаборатория Касперского» обнаружила попытку вторжения, затрагивающую несколько внутренних систем компании.

По этому факту было проведено широкомасштабное расследование, в результате которого мы обнаружили новую вредоносную платформу, разработанную одной из наиболее профессиональных, загадочных и мощных APT-группировок – Duqu. Она ушла в тень в 2012 году, и до последнего времени считалось, что проект Duqu закрыт. Как показал технический анализ, в новой серии атак применялась обновленная версия печально известного зловреда Duqu 2011 года, который иногда называют «сводным братом» Stuxnet. Мы дали этому новому зловреду и связанной с ним вредоносной платформе имя «Duqu 2.0».

Некоторые из новых случаев заражения Duqu, датируемых 2014-2015 гг., связаны с событиями, имеющими отношение к деятельности группы P5+1, и с проведением переговоров с Ираном по ядерной программе. По всей видимости, атаки были приурочены к данным переговорам, которые проходили на высоком уровне. Кроме того, группировка, стоящая за Duqu 2.0, предприняла аналогичную атаку в связи с 70-й годовщиной освобождения Освенцима.

В атаке на «Лабораторию Касперского» использовалась уязвимость нулевого дня в ядре Windows, а также, вероятно, еще одна или две уязвимости нулевого дня, которые в данный момент уже закрыты. Как показал анализ атак, основной целью злоумышленников был шпионаж за технологиями, исследованиями и внутренними процессами «Лаборатории Касперского». Фактов вмешательства в процессы или работу систем выявлено не было. Более подробная информация представлена в техническом отчете (ENG).

Вероятно, решение атаковать компанию мирового класса в сфере IT-безопасности далось киберпреступникам нелегко. С одной стороны, такая атака практически наверняка будет раскрыта и предана гласности – вряд ли подобное нападение останется незамеченным. Таким образом, либо злоумышленники были абсолютно уверены, что их не поймают, либо им все равно, что их обнаружат и разоблачат. Атаковав «Лабораторию Касперского», группировка Duqu, видимо, решила «сыграть по-крупному», понадеявшись, что вторжение не будет обнаружено, – и проиграла.

Мы в «Лаборатории Касперского» привержены принципу прозрачности, и именно поэтому публикуем данную информацию. «Лаборатория Касперского» убеждена, что ее клиенты и партнеры в безопасности и что атака никак не затронула наши продукты, технологии и сервисы.

Индикаторы заражения Duqu 2.0

MD5-хэши

Загрузчики:

089a14f69a31ea5e9a5b375dc0c46e45
16ed790940a701c813e0943b5a27c6c1
26c48a03a5f3218b4a10f2d3d9420b97
a6dcae1c11c0d4dd146937368050f655
acbf2d1f8a419528814b2efa9284ea8b
c04724afdb6063b640499b52623f09b5
e8eaec1f021a564b82b824af1dbe6c4d
10e16e36fe459f6f2899a8cea1303f06
48fb0166c5e2248b665f480deac9f5e1
520cd9ee4395ee85ccbe073a00649602
7699d7e0c7d6b2822992ad485caacb3e
84c2e7ff26e6dd500ec007d6d5d2255e
856752482c29bd93a5c2b62ff50df2f0
85f5feeed15b75cacb63f9935331cf4e
8783ac3cc0168ebaef9c448fbe7e937f
966953034b7d7501906d8b4cd3f90f6b
a14a6fb62d7efc114b99138a80b6dc7d
a6b2ac3ee683be6fbbbab0fa12d88f73
cc68fcc0a4fab798763632f9515b3f92

Ядра:

3f52ea949f2bd98f1e6ee4ea1320e80d
c7c647a14cb1b8bc141b089775130834

IP-адреса командных серверов:

182.253.220.29
186.226.56.103

Чтобы проверить, не присутствует ли в вашей сети Duqu 2.0, вы можете также использовать файл с индикаторами заражения, доступный здесь.