Tengo buenas y malas noticias.
La mala noticia
La mala noticia es que hemos descubierto un ataque avanzado a nuestro propio sistema interno. Fue complejo, sigiloso, explotaba varias vulnerabilidades de día cero, y estamos bastante seguros de que hay un país detrás de todo esto. Lo hemos llamado Duqu 2.0. ¿Por qué Duqu 2.0 y qué tiene en común con el Duqu original? Mirad aquí.
Las buenas noticias: 1º Lo hemos descubierto
La primera buena noticia es que aquí hemos encontrado algo realmente grande. De hecho, el coste de desarrollo y mantenimiento de una amenaza de este tipo es enorme. La idea en la que se basa este ataque está en una generación por delante de todo lo que habíamos visto hasta ahora y utiliza una serie de trucos que hacen que sea muy difícil de detectar y neutralizar. Parece que los que están detrás de Duqu 2.0 estaban totalmente seguros de que sería imposible que se descubriera su actividad clandestina; sin embargo, conseguimos detectarla, con la versión alfa de nuestra solución Anti-APT, diseñada para hacer frente incluso a los ataques dirigidos más sofisticados.
@kaspersky descubre un ataque a su sistema. Sus productos y servicios no se han visto comprometidos; no hay riesgo para los clientes.
Tweet
Las buenas noticias: 2º Nuestros clientes están a salvo
Lo más importante es que ninguno de nuestros productos se ha visto comprometido, por lo que nuestros clientes no se enfrentan a ningún riesgo causado por esta infracción.
Los detalles
Los atacantes estaban interesados en aprender sobre nuestras tecnologías, en particular nuestros Secure Operating System, Kaspersky Fraud Prevention, Kaspersky Security Network, la solución Anti-APT, y otros servicios. Los cibercriminales también querían conocer nuestras investigaciones en curso y aprender sobre nuestros métodos de detección y nuestra capacidad de análisis. Ya que somos muy conocidos por nuestro éxito en la lucha contra las amenazas sofisticadas, buscaban información para permanecer a la sombra sin que nos diéramos cuenta. No han tenido ninguna oportunidad.
Atacarnos no era lo más inteligente: han perdido una infraestructura muy costosa y tecnológicamente avanzada que habían estado desarrollando durante años. Además, intentaron espiar nuestras tecnologías… ¡que se encuentran accesibles bajo acuerdos de licencia (al menos algunas de ellas)!
#Duqu vuelve. #Duqu2 intentó robar tecnología de @kaspersky y meter la nariz en las investigaciones en curso para permanecer a su sombra.
Tweet
Nos hemos dado cuenta de que los que están detrás de Duqu 2.0 también espiaron varios objetivos importantes, incluyendo a algunos de los participantes en las negociaciones internacionales sobre el programa nuclear de Irán y en el evento del 70 aniversario de la liberación de Auschwitz. Aunque la investigación interna está en curso, estamos seguros de que la prevalencia de este ataque es mucho más amplia y ha incluido objetivos de varios países de un nivel más elevado. También creo que es muy probable que, tras detectar Duqu 2.0, los culpables de este ataque hayan borrado completamente su presencia en las redes infectadas para evitar quedar expuestos.
Nosotros, a su vez, aprovecharemos este ataque para mejorar nuestras tecnologías de defensa. El conocimiento nuevo es siempre útil, y una mayor inteligencia de amenazas nos ayuda en el desarrollo de una protección aún mejor. Por supuesto, ya hemos añadido la detección de Duqu 2.0 a nuestros productos. Así que, al final, no son todas malas noticias.
Como hemos mencionado, nuestra investigación está todavía en curso; harán falta unas cuantas semanas más para tener todos los detalles. Sin embargo, ya hemos comprobado que el código fuente de nuestros productos está intacto. Podemos confirmar que nuestras bases de datos de malware no se han visto afectadas, y que los atacantes no han tenido acceso a los datos de nuestros clientes.
Tal vez ahora os preguntéis por qué divulgamos esta información, o si tenemos miedo de que esto pueda dañar nuestra reputación.
Bueno, en primer lugar, no revelarlo sería como no informar a la policía de un accidente de tráfico con víctimas porque pueda afectar tu historial. Además, conocemos la anatomía de los ataques dirigidos suficientemente bien como para entender que no hay nada de qué avergonzarse en la divulgación de este tipo de ataques, esto le puede pasar a cualquiera. (Recuerda, sólo hay dos tipos de empresas: las que han sido atacadas y los que no saben que han sido atacadas). Al revelar el ataque: (i) enviamos una señal al público y cuestionamos la validez y la moralidad de los ataques que creemos orquestados por un Estado contra el negocio privado en general, y las empresas de seguridad, en particular; (ii) compartimos nuestros conocimientos con otras empresas para ayudarles a proteger sus activos. Si esto daña nuestra ‘reputación’, no nos importa. Nuestra misión es salvar el mundo, y esto no admite concesiones.
¿Quién está detrás de este ataque? ¿Qué nación?
Dejadme repetirlo una vez más: nosotros no atribuimos a nadie los ataques. Somos expertos en seguridad, los mejores, y no queremos diluir nuestra principal competencia por entrar en temas de política. De todas maneras, como partidarios comprometidos en nuestra responsabilidad de divulgación, hemos denunciado esto a las autoridades competentes en varios países para que empiecen las investigaciones penales. También hemos informado del ataque de día cero a Microsoft, que a su vez ha parcheado sus sistemas (no os olvidéis de instalar la nueva actualización de Windows).
Sólo quiero dejar que todos hagan su trabajo y ver cómo el mundo cambia para mejor.
Para finalizar este comunicado, me gustaría compartir una seria preocupación.
Que los gobiernos ataquen a las empresas de seguridad informática es simplemente indignante. Se supone que debemos estar en el mismo lado que las naciones responsables, compartiendo un objetivo común: un mundo cibernético protegido y seguro. Compartir nuestros conocimientos para luchar contra la delincuencia cibernética y ayudar a que las investigaciones sean más eficaces. Hay muchas cosas que hacemos conjuntamente para que este mundo cibernético sea un lugar mejor. Pero ahora nos damos cuenta de que algunos miembros de esta “comunidad” no tienen ningún respeto por las leyes, la ética profesional o el sentido común.
Para mí, es otra clara señal de que necesitamos que las normas del juego sean aceptadas a nivel mundial para frenar el espionaje digital y evitar la guerra cibernética. Si varios grupos, a menudo relacionados con el gobierno, tratan Internet como el salvaje oeste, sin reglas y fuera de control, con total impunidad, el progreso global sostenible de las tecnologías de la información estará en un grave riesgo. Así que, una vez más, hago una llamada a todos los gobiernos responsables para que se reúnan y lleguen a un acuerdo sobre este tema, y para luchar contra la delincuencia cibernética y el malware, no patrocinarla y promoverla.
@kaspersky pide a los estados que respeten las normas, la ética profesional y el sentido común en el ciberespacio. Y no es la primera vez.
Tweet