Ho una notizia cattiva e una buona.
Notizia cattiva
La cattiva notizia è che abbiamo scoperto un attacco avanzato alle nostre reti interne. Si tratta di un attacco complesso e subdolo che ha sfruttato diverse vulnerabilità zero-day; inoltre, siamo piuttosto convinti che alle spalle ci sia il sostegno di un qualche governo nazionale. Abbiamo battezzato questo attacco con il nome Duqu 2.0. Perché Duqu 2.0 e cos’ha in comune con il Duqu originale? Per tutto questo, vi consigliamo di leggere questo articolo.
Notizia buona, prima parte: lo abbiamo scoperto
La prima parte della buona notizia è che abbiamo scoperto qualcosa di davvero grande. I costi necessari per sviluppare e portare avanti un attacco del genere sono colossali. L’idea su cui si basa questo attacco è avanti di una generazione rispetto a quello che abbiamo visto fino ad ora, in quanto vengono utilizzati tanti trucchi diversi che rendono difficile individuarlo e neutralizzarlo. Chi c’è dietro a Duqu 2.0 era abbastanza sicuro che nessuno potesse essere in grado di scoprire questa attività clandestina. E invece noi ci siamo riusciti, grazie alla versione alpha della nostra soluzione Anti-APT progettata per gestire anche gli attacchi mirati più sofisticati.
@kaspersky ha individuato un attacco alla propria rete, probabilmente finanziato da un governo. Prodotti e servizi non hanno subito conseguenza alcuna, nessun rischio per gli uenti.
Tweet
Notizia buona, seconda parte: i nostri utenti sono al sicuro
La notizia più importante è che i nostri prodotti e servizi non sono stati compromessi in alcun modo, né i nostri utenti corrono alcun pericolo.
Maggiori dettagli
Gli autori dell’attacco avevano interesse a saperne di più delle nostre tecnologie, in particolare di Secure Operating System, Kaspersky Fraud Prevention, Kaspersky Security Network e dei nostri servizi e soluzioni APT. I cybercriminali volevano anche conoscere i dettagli delle nostre indagini in corso, i nostri metodi e le capacità di analisi. Poiché siamo noti per essere in grado di contrastare minacce particolarmente sofisticate, erano alla ricerca di informazioni per poter passare inosservati ai nostri radar, ma nulla da fare.
Attaccarci non è stata la decisione più intelligente: ora hanno perso un framework per il quale ci sono voluti anni di progettazione. Inoltre, hanno cercato di spiare le nostre tecnologie che sono disponibili grazie a degli accordi di licenza (o per lo meno alcune)!
#Duqu è tornato. #Duqu2 ha provato ad impossessarsi delle tecnologie @kaspersky e di spiare le nostre indagini in corso per schivare i nostri radar.
Tweet
Abbiamo scoperto che il gruppo che c’è dietro Duqu 2.0 ha spiato anche altri obiettivi importanti, tra cui partecipanti ai negoziati internazionali sul programma nucleare iraniano e agli eventi per il 70esimo anniversario dalla liberazione di Auschwitz. Sebbene l’indagine interna sia ancora in corso, siamo dell’idea che si tratti di un attacco molto esteso che comprende obiettivi importanti di vari paesi. Ritengo anche che sia molto probabile, per il fatto di aver individuato Duqu 2.0, che le persone dietro questo attacco spariscano dalle reti infettate per evitare di essere scoperti.
Per noi, invece, questo attacco è servito per migliorare le nostre tecnologie di difesa. È sempre utile avere nuove informazioni e saperne di più circa nuove minacce, per sviluppare dei prodotti di sicurezza migliori. Ovviamente, abbiamo già classificato Duqu 2.0 come minaccia nei nostri prodotti. In sintesi, le notizie non sono poi così cattive.
Come ho già detto, le indagini sono ancora in corso e saranno necessarie alcune settimane per avere il quadro completo della situazione. Comunque sia, abbiamo già verificato e il codice sorgente dei nostri prodotti è intatto. Possiamo confermare che i nostri database di malware non sono stati colpiti e che i cybercriminali non hanno avuto accesso ai dati dei nostri utenti.
Vi chiederete a questo punto perché abbiamo deciso di darvi queste informazioni o se temiano un danno d’immagine.
Innanzitutto, se non ne avessimo dato notizia sarebbe stato come non informare la polizia di un incidente d’auto con dei feriti per evitare una maggiorazione dei costi dell’assicurazione. Inoltre, conosciamo a fondo l’anatomia degli attacchi mirati e sappiamo che non c’è nulla di male a parlarne, perché è qualcosa che può capitare a chiunque (ricordate, ci sono due tipi di aziende, quelle che vengono attaccate e quelle che non sanno di essere state attaccate). Parlando pubblicamente dell’attacco: 1) inviamo un segnale forte e aperto, mettendo in discussione la validità e la moralità di questi attacchi presumibilmente promossi dai governi contro aziende private in generale e aziende che si occupano di sicurezza informatica in particolare; e (2) vogliamo condividere ciò che sappiamo con altre aziende e aiutarle a proteggere i loro beni. E se ciò ha qualche ripercussione sulla nostra “immagine”, non importa. La nostra missione è quella di salvare il mondo, e non possiamo accettare compromessi.
Chi c’è dietro questo attacco? Quale nazione?
Lasciate che lo ripeta ancora: non spetta a noi attribuire responsabilità. Siamo esperti in sicurezza informatica e non vogliamo minare la nostra professionalità in questo settore entrando in politica. Allo stesso tempo, dal momento che vogliamo che si faccia luce su questa storia, abbiamo rilasciato dichiarazioni alle autorità competenti di vari paesi in modo tale che venga avviata un’indagine. Inoltre, abbiamo informato anche Microsoft dell’attacco zero-day, e da poco ha pubblicato la patch corrispondente (non dimenticate di installare l’aggiornamento Windows il prima possibile).
Voglio solo che ognuno svolga il proprio lavoro e che il mondo cambi per il meglio.
Per concludere questo comunicato, vorrei condividere con voi una mia preoccupazione.
È assolutamente immorale che i governi attacchino le aziende di sicurezza IT. Dovremmo essere tutti dalla stessa parte, per raggiungere l’obiettivo comune di un mondo informatico sicuro. Noi di Kaspersky Lab condividiamo le nostre conoscenze per combattere il cybercrimine e fare in modo che le indagini portino a dei risultati. Ci sono tante cose che possiamo fare insieme per rendere il mondo informatico un posto più sicuro. E invece alcuni membri di questa “community” non rispettano le leggi, l’etica professionale e neanche il buonsenso.
Per me si tratta dell’ennesima conferma: abbiamo bisogno di regole universalmente accettate sull’argomento per evitare situazioni di questo tipo. Se i gruppi criminali, spesso collegati ad alcuni governi, pensano che Internet sia come il selvaggio West, un posto dove non ci sono regole e in cui si può agire impunemente, allora il progresso sostenibile e generale dell’information technology è davvero a rischio. Per questo, ancora una volta, esorto tutti i governi a unirsi e a trovare un accordo su certi punti e combattere insieme il cybercrimine, non a sostenerlo.
@kaspersky esorta che vengano rispettate le regole, l’etica professionale e il buonsenso. E non è la prima volta.
Tweet