O tym, jak zaawansowane są techniki stosowane przez cyberprzestępców najlepiej świadczy udany atak na firmę Kaspersky Lab, która jest producentem oprogramowania mającego zapewnić bezpieczeństwo systemów IT i zatrudnia wysokiej klasy specjalistów analizujących zagrożenia i opracowujących techniki ich eliminacji.

Za włamanie do sieci Kaspersky Lab odpowiadają prawdopodobnie te same osoby lub organizacja, które stworzyły oprogramowanie o nazwie Duqu, wykorzystane w 2014 r. do zaatakowania kilku hoteli i obiektów konferencyjnych, w których odbywały się negocjacje dotyczące irańskiego programu nuklearnego. Specjaliści z Kaspersky Lab wykryli ten złośliwy kod w swojej sieci wiosną – znaleźli zmodernizowaną wersję Duqu, którą nazwali Duqu 2.0. Ów program wydaje się wywodzić od osławionego Stuxneta, czyli niezwykle rozbudowanego i wysublimowanego „szkodnika”, stworzonego z myślą o zainfekowaniu i uszkodzeniu irańskich instalacji atomowych kilka lat temu (program modyfikował ustawienia sterowników maszyn przemysłowych, przez co mógł doprowadzić m.in. do fizycznego uszkodzenia wirówek wzbogacających).

Zdaniem ekspertów – zarówno z rosyjskiej firmy, jak i niezależnych – wiele wskazuje na to, że Duqu/Duqu 2.0 jest projektem rządowym, stworzonym w ramach programu cyberwojny. Nazwy państwa odpowiedzialnego za ów projekt nikt oficjalnie nie wymienia, ale Wall Street Journal sugeruje, że może chodzić o Izrael. Za tą teorią przemawia nie tylko wybór celu - Iranu, ale również fakt, iż atak zmodernizowanej wersji Duqu został zainicjowany w 70. rocznicę wyzwolenia obozu Auschwitz II–Birkenau.

Kaspierski podczas transmitowanej przez internet londyńskiej konferencji prasowej miał wyraźny problem z jednoznacznym wskazaniem powodów, dla których to właśnie jego firma stała się celem ataku hakerskiego, a także wyjaśnieniem, dlaczego właściwie włamanie było możliwe. Kto jak kto, ale specjaliści ds. bezpieczeństwa powinni najlepiej wiedzieć, jak nie dopuścić do takiej sytuacji. Wiadomo na pewno, że Duqu 2.0 do infekowania komputerów wykorzystywał tzw. lukę zero-day, czyli krytyczny błąd w aplikacji lub systemie operacyjnym, który został wykryty przez przestępców zanim dowiedział się o nim jego producent. Dowodem na to jest fakt, że komputer pracownika, który został zaatakowany jako pierwszy, był w pełni zaktualizowany. Ów błąd obecnie został już zidentyfikowany i usunięty.

Czego chcieli włamywacze?

„Byli nie tylko głupi, ale również chciwi” – wyjaśniał Jewgienij Kaspierski, który unikał jednak bezpośredniej, jednoznacznej odpowiedzi na pytanie dotyczące powodów oraz celu ataku. Miał za to szereg niepotwierdzonych na razie teorii. „Wiemy, że nie interesowały ich dane klientów – nasze analizy wykazały, że nie tknęli informacji o klientach czy partnerach. Sądzę, że chcieli nas przede wszystkim podglądać” – mówił szef firmy. Jego zdaniem, włamywaczom mogło m.in. chodzić o dowiedzenie się, jakie złośliwe aplikacje analizują aktualnie specjaliści z Kaspersky Lab, jak typują podejrzane oprogramowanie, które poddawane jest szczegółowej analizie i jak przebiega proces analizy.

Takie informacje faktycznie mogą być potencjalnie bardzo przydatne dla przestępców – szczególnie autorów złośliwego oprogramowania – ponieważ pozwalają im zorientować się, co powoduje, że dany złośliwy program trafia pod lupę specjalistów ds. bezpieczeństwa. Dzięki temu tworząc kolejne programy będą mogli modyfikować je tak, by nie budziły podejrzeń i nie były rozpracowywane przez twórców oprogramowania antywirusowego, a w każdym razie nie zbyt szybko. “To oczywiste, że ci ludzi chcą wiedzieć, czym zajmuje się druga strona i z jakich narzędzi korzysta” – komentuje Tod Beardsley z firmy Rapid7 – „Oni robią to samo co my, tylko z drugiej strony – prowadzą projekty badawcze, które mają dostarczyć informacji o tym, z jakich metod, narzędzi i technologii korzystają ich przeciwnicy”.

Kaspierski twierdzi jednak, że nawet gdyby właśnie to było celem ataku na jego firmę, to korzyści dla przestępców byłyby tylko krótkotrwałe, ponieważ Kaspersky Lab cały czas rozwija swoje metody analizowania i wykrywania złośliwego kodu. Dlatego też poznanie metod sprzed kilku miesięcy (do włamania doszło w 2014 r.) dziś nie miałoby już żadnego znaczenia.

“Może chcieli dowiedzieć się, nad czym dokładnie wtedy pracowaliśmy, a może po prostu chodziło o sprawdzenie, czy ich wykryjemy i złapiemy” – wyjaśniał szef rosyjskiej firmy. „Mogę wymyślać wiele różnych powodów, które teoretycznie mogły być inspiracją do ataku – ale żaden z nich nie wydaje mi się wart ryzyka związanego z konsekwencjami potencjalnego wykrycia autorów tego ataku” – podsumował Kaspierski.