Ранней весной 2015 года «Лаборатория Касперского» зафиксировала кибервторжение в свою корпоративную сеть. В ходе последовавшего за этим расследования была обнаружена новая вредоносная платформа, имеющая непосредственное отношение к одной из самых сложных и загадочных кампаний кибершпионажа – Duqu, раскрытой в 2011 году. Новая платформа получила название Duqu 2.0.

«Лаборатория Касперского» полагает, что атакующие были уверены в том, что их деятельность не может быть обнаружена – они использовали уникальные и ранее не встречавшиеся инструменты и практически не оставляли следов в системе. Атака осуществлялась при помощи эксплойтов, использовавших уязвимости нулевого дня в OC Windows, а дополнительное вредоносное ПО доставлялось в атакованные системы под видом Microsoft Software Installers (MSI) – установочных файлов, используемых системными администраторами для инсталляции ПО на компьютеры в удаленном режиме. Вредоносное ПО не создавало и не модифицировало какие–либо дисковые файлы или системные настройки, что затрудняло обнаружение атаки. 6. Вредоносная программа использует усовершенствованный метод сокрытия своего присутствия в системе: код Duqu 2.0 существует только в оперативной памяти компьютера и старается удалить все следы на жестком диске.

«Лаборатория Касперского» оказалась не единственной целью атакующих – эксперты компании обнаружили других жертв в ряде западных, ближневосточных и азиатских стран. Среди наиболее заметных мишеней новой кампании Duqu в 2014–2015 годах стали площадки для переговоров по иранской ядерной программе «Группы 5+1» и мероприятий, посвященных 70–й годовщине освобождения узников Освенцима. Во всех этих событиях принимали участие высокопоставленные лица и политики.

В настоящее время «Лаборатория Касперского» продолжает расследовать инцидент. Уже была проведена проверка корпоративной инфраструктуры и верификация исходного кода. Как показал первичный анализ, главной задачей атакующих было получение информации о технологиях и исследованиях «Лаборатории Касперского». Помимо попыток кражи интеллектуальной собственности, никакой другой вредоносной активности, в том числе вмешательства в процессы или системы, в корпоративной сети компании зафиксировано не было. 

Признаки таргетированной атаки на свою корпоративную сеть «Лаборатория Касперского» заметила в ходе тестирования прототипа решения для защиты от подобных угроз – целевых атак и кибершпионажа.

Необходимые функции для защиты от Duqu 2.0 были добавлены в продукты компании. Решения «Лаборатории Касперского» детектируют эту угрозу как HEUR:Trojan.Win32.Duqu2.gen.