Habilidade no Processo de Detecção e Segurança dos Clientes
Ao que tudo indica, os criadores do Duqu 2.0 estavam totalmente confiantes de que seria impossível quem quer fosse, vir a descobrir a sua atividade clandestina. No entanto, a equipe da Kaspersky Lab, com toda a sua habilidade e perspicácia, conseguiu detectá-lo com ajuda da versão alpha da sua solução Anti-APT, que foi projetada para combater os ataques direcionados mais sofisticados. Outra boa notícia em meio a tudo isso, é que os clientes da Kaspersky estão seguros, pois é muito importante que nenhum dos seus produtos ou serviços tenham sido comprometidos, ou seja, os clientes da empresa não enfrentaram nenhum risco relacionado ao ataque. Os primeiros avanços nesse processo de investigação indicaram que os cybercriminosos estavam em busca de conhecimentos sobre as tecnologias da Kaspersky, em particular sobre o Secure Operating System, Kaspersky Fraud Prevention, Kaspersky Security Network e solução anti-APT.
Além disso, os cybercriminosos também queriam saber mais sobre as investigações em curso e aprender sobre os métodos de detecção e capacidade de análise. Desde que a Kaspersky Lab é reconhecida a nível mundial pela sua luta bem sucedida contra as ameaças mais sofisticadas, eles pretendiam utilizar esta informação com o intuito de permanecer fora do radar da equipe da companhia. Portanto, isso foi impossível. A verdade é que desencadear um ataque contra a Kaspersky não foi uma jogada inteligente, porque os cybercriminosos acabaram de perder uma estrutura tecnológica muito avançada que, provavelmente, estiveram desenvolvendo por anos. Além do mais, eles tentaram espionar as tecnologias da Kaspersky Lab, que qualquer pessoa pode acessar comprando uma licença (pelo menos a maioria delas). Na sequência das descobertas que foram sendo feitas, foi possível descobrir que o grupo responsável pelo Duqu 2.0 também espionou vários alvos importantes a nível mundial, incluindo os participantes das negociações internacionais sobre o programa nuclear do Irã, e sobre o 70º aniversário da libertação de Auschwitz. Mesmo que a investigação interna ainda esteja em processo de andamento, a equipe da Kaspersky está confiante de que a prevalência deste ataque é muito mais amplo e incluiu objetivos de primeiro nível em relação a vários países. No entanto, é muito provável que depois que houve a detecção do Duqu 2.0, os cybercriminosos por trás do ataque limparam sua presença nas redes infectadas para assim, evitar a sua exposição.
Da parte dos profissionais da Kaspersky Lab, este ataque será utilizado para melhorar as suas tecnologias defensivas. Todo o conhecimento novo é útil, e as ameaças de inteligência avançada vão ajudá-los a desenvolver uma melhor proteção. De maneira lógica, eles já adicionaram a capacidade de detecção de Duqu 2.0 aos seus nossos produtos. E como já foi mencionado, a investigação realizada ainda está em processo de andamento; que vai exigir mais algumas semanas para obter todos os detalhes. No entanto, já foi comprovado que o código-fonte dos produtos da empresa está intacto. Dessa forma, é perfeitamente possível confirmar que os bancos de dados de malware não foram afetados, e que os atacantes não tiveram acesso aos dados dos clientes da companhia, o que lhes dá um grande alívio.
Divulgação dos Ataques Sofridos
Em meio a tudo isso, as pessoas devem se perguntar por que houve a decisão de divulgar esta informação, ou se existe algum medo de que isto possa prejudicar a reputação da Kaspersky Lab. Em primeiro lugar, não fazer a divulgação desta notícia seria como não relatar um acidente de carro com vítimas à polícia. Além disso, os profissionais da Kaspersky Lab conhecem bem a anatomia dos ataques direcionados,exatamente para entender que não há nada do que se envergonhar na divulgação deste tipo de ataque, porque isso pode acontecer com qualquer um. Vale lembrar que só existem dois tipos de empresas: aquelas que foram vítimas de algum ou alguns tipos de ataques e aquelas que não sabem que foram atacadas.
Além de tudo isso, ao revelar o ataque, a Kaspersky enviou um sinal ao público; assim, foi realizado um questionamento sobre a validade e a moralidade dos ataques desencadeados, os quais acredita-se que foram patrocinados pelo Estado contra empresas privadas em geral e empresas de segurança, em particular. E assim, foi compartilhado o conhecimento adquirido com outras empresas com a intenção de ajudá-los a proteger seus ativos. E mesmo que isto faça mal a reputação da empresa, a equipe da Kaspersky julga como um ponto irrelevante e não se importa nem um pouco em relação a isso. Dessa forma, é válido destacar que a missão da empresa é salvar o mundo, e isto não admite que sejam feitas concessões.
Responsáveis por Desencadear os Ataques
Quando se trata de saber quem é o grande articulador desse ataque, vem as perguntas: Quem está por trás do ataque? Qual nação estaria patrocinando esse ataque? Em face disso, vale dizer o seguinte: o pessoal da Kapersky não atribuiu a autoria dos ataques a ninguém. Além disso, a equipe é formada por renomados especialistas em segurança, os melhores, e não há nenhum interesse em prejudicar a sua principal competência de como se deve fazer política. Ao mesmo tempo, como partidários comprometidos com a divulgação responsável, eles tem denunciado às autoridades competentes em vários países para que comecem as investigações criminais. A equipe também tem sido informado sobre a ocorrência do ataque zero-day para a Microsoft, que por sua vez foi corrigido recentemente, (sendo assim, não se esqueça de instalar a atualização do Windows). No caso desse ataque contra a rede corporativa da Kaspersky Lab, o ataque se aproveitou de uma falha do tipo "zero-day" no kernel do Windows e, possivelmente, até de duas outras vulnerabilidades atualmente corrigidas. A análise do ataque revelou que o principal objetivo dos atacantes era espionar tecnologias da Kaspersky Lab, a investigação em curso e até mesmo processos internos. Nenhuma interferência com processos ou sistemas foi detectado.
Do ponto de vista dos autores dessa ameaça, a decisão de direcionar seus ataques a uma empresa de segurança de classe mundial deve ser bastante difícil. Por um lado, eles quase, certamente, acham que que o ataque será exposto - é muito pouco provável que o ataque vá passar de forma imperceptível. Assim, a orientação das empresas de segurança indica que esses cybercriminosos estão muito confiantes de que não serão pegos, ou talvez eles não se importem muito se eles serão descobertos e expostos. Ao direcionar suas investidas para Kaspersky Lab, os atacantes por trás do "Duqu", provavelmente, apostarão alto que suas façanhas permanecerão desconhecidas e que nada será identificado.
Saiba Mais:
[1] Blog Kaspersky https://blog.kaspersky.com.br/kasper...u-attack/5407/