Šo incidentu aprakstījuši ne tikai mediji, bet arī pats "Kaspersky Lab", detalizēti aprakstot uzbrukuma tehnisko pusi. Šī Krievijā bāzētā antivīrusu izstrādātāju kompānija ir atklājusi tādus IT jomā pazīstamus un sarežģītus datorvīrusus kā "Stuxnet", "Duqu", "Flame", "Gauss", "Regin" un "Equation Group". Visi šie vīrusi bija mērķēti uz valsts struktūrām vai privāto biznesu, kas sadarbojas ar valsts struktūrām. Aiz šo vīrusu izstrādātājiem stāvēja ASV, Lielbritānijas un Izraēlas varasorgāni.
Beigu beigās "Kaspersky Lab" pati kļuva par upuri tiem, ar kuru darbu cīnās jau gadus 15. Izceļot gaismā ļoti sarežģītos vīrusus, ko radījuši visprasmīgākie specdienesti pasaulē, Krievijas kompānija jau sen burtiski "uzprasījās", lai kļūtu par upuri ļaundariem, kurus pati apkaro.
Datorvīruss "Duqu 2.0", kā to nosaukuši paši "Kaspersky Lab" speciālisti, ir ļoti līdzīgs 2011. gada "Duqu", kam savukārt ir ne mazums kā kopīga ar "Stuxnet". Abi šie vīrusi tika izmantoti mērķtiecīgam uzbrukumam Irānai un Sudānai, kā arī Irānas kodolprogrammas sabotēšanai.
Mediji ir pārliecināti, ka aiz šo minēto vīrusu radītājiem stāv Izraēla vai tās sponsorēti speciālisti. "Duqu 2.0" īpatnība ir tā, ka tas tika izmantots ne tikai "Kaspersky Lab" datortīkla uzlaušanai, bet arī Irānas kodolprogrammas pārrunu novērošanai. Pārrunām, uz kurām Izraēla nebija aicināta, neskatoties uz tās ieinteresētību un bažām par draudiem.
"Kaspersky Lab" speciālisti "Duqu" un "Duqu 2.0" vīrusos atrada vienāda koda fragmentus. Ja vīrusa pirmajā versijā bija tikai seši moduļi, tad otrajā to bija krietni vairāk, kas kopumā sasniedza 19 megabaitus – vīrusam samērā lielu apmēru. Šis vīruss "ieperinājās" datora operatīvajā atmiņā – pēc "Duqu 2.0" uzstādīšanas tas neatstāj nekādas pēdas datora cietajā diskā. Kā norāda "Kaspersky Lab" speciālisti, šī vīrusa kods ir viens no vislabākajiem, kādu tie redzējuši, un tajā praktiski nav trūkumu.
"Kaspersky Lab" līdz pat šim nezina, kādu tieši informāciju hakeriem izdevies iegūt. Uz āru informācija no uzņēmuma datortīkla tika sūtīta "tukšos" grafiskos failos, kas ļoti apgrūtina radītā kaitējuma novērtēšanu. Tas, par ko kompānija ir pārliecināta par visiem 100%, ka neviens no 400 miljoniem tās antivīrusa programmu lietotājiem nav saņēmis šo ļaundabīgo kodu.
Turklāt "Kaspersky Lab" nav vienīgais šī vīrusa upuris. Desmitiem tehnoloģisko kompāniju, kā arī viesnīcu un konferenču centru visā pasaulē – vietas, kurās notika pārrunas par Irānas kodolprogrammu – arī kļuva par "Duqu 2.0" upuriem.
Kā ‘Kaspersky Lab’ atklāja uzbrukumu
Uzņēmums atklāja "Duqu 2.0" pavisam nejauši, kad inženieris, kurš testēja jauno produktu uz kompānijas servera un ievēroja anormāli lielu datu plūsmu. Viņš sāka "rakt" un saprata, ka vairāki desmiti uzņēmuma datoru ir inficēti, ar ko "Kaspersky Lab" līdz šim nebija saskāries.
Turpmākie izmeklējumi liecināja, ka par "nulto pacientu" bija kļuvis kompānijas dators vienā no Āzijas birojiem. Tas ticis inficēts ar "zero-day-exploit" palīdzību – operētājsistēmas ievainojamība, par kuru vēl nezina datorprogrammu izstrādātāji un kurai vēl nav izstrādāts "ielāps".
Četras stundas pirms tam, kad uzņēmuma inženieri to bija sapratuši, inficētā datora e-pasta arhīvs un interneta pārlūka vēsture tika izdzēsta – acīmredzami ļaundari pamanīja, ka ir atklāti, un mēģināja slēpt pēdas. Hakeri pirmo indikatoru par savu atmaskošanu saņēma brīdī, kad "Kaspersky Lab" sāka izolēt inficētos datorus no interneta.
Kā noskaidroja "Kaspersky Lab" speciālisti, iegūstot kontroli pār pirmo datoru, ļaundari, izmantojot citu "zero-day" "caurumu", sāka "taustīties" pa uzņēmuma datortīklu līdz atrada kādu no galvenajā birojā Maskavā esošajiem. "Kaspersky Lab" pieļauj, ka šim nolūkam tika izmantota ievainojamība "Kerberos" protokolā, ko "Microsoft" salaboja tikai pērnā gada novembrī.
Atrodot interesējošos datorus, hakeri izmantoja trešo "zero-day" "caurumu", ielādējot vīrusu sistēmā un mākslīgi apejot antivīrusa datorprogrammu. Tiklīdz "Duqu 2.0" tika ielādēts datora atmiņā, tas tika izdzēsts no cietā diska un no tā brīža "dzīvoja" tikai datora operatīvajā atmiņā. Kā norāda "Kaspersky Lab" speciālisti, ļaundari bija pārliecināti par sava produkta kvalitāti un stabilitāti.
Turklāt ne uz katra inficētā datora vīruss bija pilnā apmērā – dažos bija uzstādīts tikai atsevišķs koda modulis, kas nodrošināja attālinātu piekļuvi. Ja hakeriem radās lielāka interese par konkrēto datoru, tad viņi papildināja attiecīgā datora vīrusa moduļus ar nepieciešamajiem, piemēram, lai reģistrētu uz klaviatūras nospiestos taustiņus, fiksētu ekrāna uzņēmumu, iegūtu piekļuvi failiem, parolēm utt.
"Kaspersky Lab" pagaidām nav atšifrējis visus "Duqu 2.0" koda moduļus, tomēr atklāj, ka starp tiem ir arī speciāli industriālajām sistēmām izstrādātie. Tas tikai kārtējo reizi apliecina, ka "Kaspersky Lab" nebija vienīgais un, iespējams, pat ne galvenais ļaundaru mērķis.
Protams, ja vīruss "dzīvo" tikai datora operatīvajā atmiņā, tam būtu "jāiet bojā", kad operētājsistēma tiek restartēta vai kad dators tiek izslēgts. Tieši tas arī notika. Tomēr, ņemot vērā, ka inficēts tika vesels datortīkls, tas ļaundariem neradīja īpašu risku. Viens vai divi inficētie datori pildīja "draivera" lomu – sekoja līdzi "Duqu 2.0" stāvoklim uz citiem datoriem, un, ja kādā no tiem kods bija pazudis, tas caur domēna kontrolleri atkal tika ielādēts vajadzīgā datora operatīvajā atmiņā.
Šiem vīrusa "draiveriem" bija vēl viens mērķis – komunikācija. Ja tīklā ir daudz inficētu datoru, kuros pastāvīgi tiek zagta un pārsūtīta informācija, tie visi kopā var radīt pārāk lielu aizdomīgas datu plūsmas apjomu, kas pievērstu tīkla administratora uzmanību. "Duqu 2.0" izstrādāji šī riska mazināšanai izmantoja "draiverus" kā vienīgos vārtus informācijas padevei. Visi inficētie datori komunicēja ar "draiveri", bet tas savukārt sūtīja informāciju uz āru.
Ko medīja ‘Duqu 2.0’ vīrusa autori
Hakerus interesēja, kā "Kaspersky Lab" šķetina citus vīrusus, piemēram, "Equation Group" un "Region". Otrais no tiem tiek izmantots uzbrukumiem Eiropas Komisijai un tiek uzskatīts, ka tā izstrādātājus atbalsta Lielbritānija. "Duqu 2.0" izstrādātāji vāca informāciju arī par jauno aizsardzības programmatūru, kuru izstrādā "Kaspersky Lab". Vēl hakerus interesēja datu iegūšanas algoritms no "Kaspersky Security Network" lietotājiem.
Tomēr "Kaspersky Lab", kā jau minējām, nebija vienīgais "Duqu 2.0" izstrādātāju mērķis. Pēc Krievijas antivīrusa programmatūras izstrādātāju vārdiem, infekcija skāra arī pāris desmitus tās klientu, kaut arī "Kaspersky Lab" neatklāj to nosaukumus vai valstis, kurās tie atrodas. Zināms vien tas, ka daži no tiem bija saistīti ar industriālo sistēmu izstrādi, bet citi nodarbojās ar valsts apkalpošanas biznesu. Vēl viens interesants vīrusa mērķis – kompānija, kura nodarbojās ar Osvencimas atbrīvošanas 70 gadu jubilejas organizēšanu. Svinības, uz kurām ieradās praktiski visi pasaules līderi, izņemot Putinu un Obamu.
Kā izdevums "Wired" noskaidroja kompānijā "Symantec", kura sadarbības ietvaros ar "Kaspersky Lab" ieguva informāciju par "Duqu 2.0" (un atrada to pie saviem lielākajiem klientiem), vīruss inficēja kompāniju un organizāciju datortīklus visā pasaulē – Lielbritānijā, Zviedrijā, daudzviet citur Eiropā, Honkongā, Indijā, Āfrikā un ASV. Daži no upuriem tika inficēti vēl 2013. gadā. Pēc "Symantec" aplēsēm, mērķis bijis inficēt nepilnu simtu datortīklu. "Duqu 2.0" autori patiešām darbojās rūpīgi – pie sīkiem spēlētājiem neķērās un centās darboties slēpti.
Visinteresantākais no mērķiem, pēc speciālistu domām, bija vietas, kur tikās ANO Drošības padomes pieci pastāvīgie locekļi (plus Vācija) ar Irānas valdības pārstāvjiem. Hakeri rīkojās atbilstoši apstākļiem – katras šīs tikšanās vietas datortīkls tika inficēts divas vai trīs nedēļas pirms tam, kad notika plānotā tikšanās, kas ļaundariem deva laiku sagatavoties. Vismaz vienā no gadījumiem inficēšana notika slepenā tikšanās vietā, kura plašākam lokam netika atklāta. Tas skaidri liecina par saistību ar kādas valsts varasorgāniem vai specdienestiem.
Detalizētāka informācija par to, kā tieši hakeri spiegoja pārrunas saistībā ar Irānas kodolprogrammu, nav zināma. Iespējams, hakeri ne tikai pārtvēra e-pastus un interneta datu plūsmu attiecīgajos datortīklos, bet arī uzlauza video novērošanas un/vai iekšējo komunikāciju tīklu, kas ļāva tiem noklausīties, kā arī novērot pārrunu gaitu.
Tagad hakeriem nāksies atrast citus instrumentus savu mērķu sasniegšanai. Ņemot vērā, ka aiz šo vīrusu izstrādātājiem stāv pasaulē vadošo valstu specdienesti un milzīgi finanšu resursi, nav nemazāko šaubu, ka šādi instrumenti vai nu tiek izstrādāti, vai arī jau darbojas. "Kaspersky Lab" vai arī kādam citam antivīrusu izstrādātājam tos tikai kārtējo reizi jāatklāj.