Kaspersky: România, atacată cu MiniDuke
Experţii Kaspersky Lab au publicat un nou raport de cercetare ce analizează o serie de incidente de securitate în cadrul cărora au fost utilizate exploit-urile PDF din Adobe Reader (CVE-2013-6040) descoperite recent şi un nou program malware, foarte specializat, numit MiniDuke.
MiniDuke a fost folosit săptămâna trecută pentru a ataca mai multe organizaţii guvernamentale şi instituţii din întreaga lume. Experţii Kaspersky Lab, în parteneriat cu CrySys Lab, au analizat în detaliu atacurile. Potrivit analizei Kaspersky Lab, mai multe ţinte importante au fost deja compromise de atacurile MiniDuke, inclusiv instituţii guvernamentale, din Ucraina, Belgia, Portugalia, România, Republica Cehă şi Irlanda. În plus, un institut de cercetare, două think tank-uri şi un furnizor din domeniul medical din Statele Unite, precum şi un institut de cercetare foarte cunoscut din Ungaria au fost, de asemenea, compromise.
„Acesta este un atac cibernetic foarte neobişnuit,” comentează Eugene Kaspersky, fondatorul şi CEO al Kaspersky Lab. „Îmi amintesc acest tip de programare malware de la sfârşitul anilor 1990 şi începutul anilor 2000. Mă întreb dacă nu cumva aceşti programatori de malware, care au fost inactivi timp de mai mult de un deceniu, s-au trezit brusc şi s-au alăturat unui grup complex de infractori activi în lumea cibernetică. Aceşti programatori de malware de elită, de modă veche au fost foarte eficienţi în trecut, creând viruşi foarte complecşi, iar acum își folosesc aceste abilităţi în combinaţie cu noile exploit-uri avansate, capabile să evite protecţia sandbox, pentru a ataca organizaţii guvernamentale sau instituţii de cercetare din diferite ţări”, explică Eugene Kaspersky.
„Backdoor-ul foarte specializat al MiniDuke a fost scris în Assembler şi este de dimensiuni foarte mici, având doar 20kb. Alăturarea dintre programatorii de malware de modă veche şi experimentaţi care folosesc exploit-uri descoperite recent şi ingineria socială inteligentă, din prezent, capabilă să compromită ţinte importante este foarte periculoasă”, avertizează Eugene Kaspersky.
Principalele descoperiri ale cercetării Kaspersky Lab:
Atacatorii MiniDuke sunt activi în prezent şi au creat fişiere malware chiar şi pe 20 februarie 2013. Pentru a compromite victimele, atacatorii au utilizat tehnici de inginerie socială foarte avansate, care implică trimiterea de documente PDF maliţioase către ţintele vizate. Documentele trimise erau create să pară foarte credibilepentru destinatari, având un conţinut bine construit, care să imite prezentările despre un seminar pe tema drepturilor omului (ASEM), strategia de politică externă a Ucrainei şi planurile NATO pentru ţările membre. Acestor fişiere PDF maliţioase le-au fost ataşate exploit-uri care să atace versiunile Adobe Reader 9, 10 şi 11, evitând protecţia sandbox. Pentru a crea aceste exploit-uri,s-a folosit un set de instrumente care pare a fi acelaşi cu cel utilizat în atacul care a fost semnalizat recent de FireEye.Însă, exploit-urile folosite în atacurile MiniDuke au avut alte scopuri şi aveau propriul malware specializat.
Odată ce sistemul era exploatat, un program de descărcare de doar 20kbera instalat pe discul victimei. Programul de descărcare era unic pentru fiecare sistem şi conţinea un backdoor personalizat, scris în Assembler. Fiind încărcat de îndată ce sistemul era pornit, programul de descărcare utiliza un set de calcule matematice pentru a stabili amprenta unică a computerului şi folosea aceste date pentru a cripta într-un mod unic acţiunile de comunicare ulterioare. De asemenea, programul era construit să evite analiza de către un set codificat de instrumente în anumite medii, cum ar fi VMware. Dacă întâlnea unul dintre aceşti indicatori, programul rămânea inactiv în mediul respectiv, în loc să treacă la stadiul următor şi să îşi expună mai mult modalitatea de funcţionare printr-o decriptare suplimentară. Acest lucru indică faptul că autorii malware-ului ştiau cu exactitate ce fac specialiştii în antivirușişi în securitate IT pentru a analiza şi a identifica un malware.
Dacă sistemul ţintei corespundea cerinţelor predefinite, malware-ul se folosea de Twitter, fără ştirea utilizatorului, şi începea să caute postări specifice de pe conturi create în prealabil. Aceste conturi erau create de operatorii de comandă şi control ai MiniDuke, iar tweet-urile conţineau etichete specifice care reprezentau URL-urile criptate pentru backdoor-uri. Aceste URL-uri ofereau acces cătrecentrele de comandă şi de control, care furnizau în sistem potenţiale comenzi şi transferuri criptate de backdoor-uri suplimentare, prin intermediul fişierelor GIF.
Potrivit analizei, creatorii MiniDuke par să furnizeze un sistem de backup dinamic care, de asemenea, poate trece neobservat. Dacă Twitter nu funcţionează sau dacă aceste conturi sunt închise, malware-ul poate folosi Google Search pentru a găsi seria criptată pentru următorul centru de control şi de comandă. Acest model este flexibil şi permite operatorilor să schimbe constant felul în care backdoor-urile trimit înapoi comenzile următoare sau codul de malware, în funcţie de nevoie.
Odată ce sistemul infectat localizează centrul de control şi de comandă, acesta primeşte backdoor-urile criptate camuflate în fişiere GIF şi deghizate în fotografii care apar în computerul victimei. De îndată ce suntdescărcate în computer, acestea pot descărca un backdoor de dimensiuni mai mari, care desfăşoară câteva acţiuni de bază, precum copierea, mutarea sau înlăturarea fişierelor, crearea de fişiere, blocarea unor acţiuni şi, bineînţeles, descărcarea şi executarea unui nou malware.
Backdoor-ul malware este conectat la două servere, unul în Panama,altul în Turcia, pentru a primi instrucţiuni de la atacatori.
