El ataque impactó su red corporativa y también a víctimas de alto perfil en países occidentales, el Medio Oriente y Asia.
Kaspersky Lab detectó en su red una nueva plataforma de malware proveniente de uno de los actores de APTs (ataque persistente avanzado) más hábiles y potentes, llamado Duqu 2.0, que que explota hasta tres vulnerabilidades de día-cero.
El ataque incluye varias características nunca antes vistas, ya que explota las vulnerabilidades de día cero y, después de cambiar los privilegios a administrador de dominio, el malware se propagaba por la red por medio de archivos Microsoft Software Installer (MSI) que son utilizados por los administradores de sistemas para desplegar software remotamente en computadoras Windows.
Duqu no deja ningún archivo de disco o cambia la configuración del sistema, lo que hace su detección más difícil. La información obtenida por los hackers no es crítica para la operación de los productos de la empresa.
Los investigadores descubrieron las infecciones de malware se vincularon a eventos de P5+1 y centros utilizados para reuniones de alto nivel entre líderes mundiales, sobre el acuerdo nuclear. A parte de los eventos de P5+1, el grupo de Duqu 2.0 lanzó ataques similares en relación al evento del 70 aniversario de la liberación de Auschwitz-Birkenau.
Para analizar esta amenaza, Kaspersky Lab realiza una auditoría que consiste en la verificación del código fuente y la revisión de la infraestructura corporativa. Además del robo de información intelectual, no se han detectado indicadores de actividad maliciosa adicionales.
Eugene Kaspersky, CEO de Kaspersky Lab, explicó que espiar a compañías de seguridad es una tendencia muy peligrosa, ya que el software de seguridad es la última frontera en la protección de negocios y clientes, donde el hardware y equipos de red pueden ser comprometidos.