27 lutego 2013

Kaspersky Lab identyfikuje "MiniDuke'a", nowy szkodliwy program przeznaczony do szpiegowania wielu podmiotów i instytucji rządowych na całym świecie

Nowi aktorzy w "teatrze zagrożeń" łączą starą szkołę pisania szkodliwego oprogramowania ze świeżymi, zaawansowanymi exploitami dla aplikacji Adobe Reader, aby gromadzić dane geopolityczne pochodzące od ściśle wyselekcjonowanych celów na całym świecie

Kaspersky Lab informuje o swoim nowym projekcie badawczym, w którym przeanalizowany został szereg incydentów naruszeń bezpieczeństwa z wykorzystaniem wykrytego niedawno exploita PDF dla aplikacji Adobe Reader (CVE-2013-6040) oraz nowego, spersonalizowanego szkodliwego programu znanego jako MiniDuke. W ciągu ostatniego tygodnia MiniDuke został wykorzystany w atakach na wiele podmiotów i instytucji rządowych na całym świecie. Eksperci z Kaspersky Lab we współpracy ze specjalistami z laboratorium CrySys Lab szczegółowo przeanalizowali ostatnie ataki i opublikowali swoje wnioski.


Według analizy Kaspersky Lab, MiniDuke atakuje sporo ważnych celów, łącznie z jednostkami rządowymi na Ukrainie, w Belgii, Portugalii, Rumunii, Czechach i Irlandii. Ponadto, skompromitowano instytut badawczy, dwa zespoły ekspertów i dostawcę usług medycznych w Stanach Zjednoczonych oraz prominentną fundację badawczą na Węgrzech.

„To jest bardzo nietypowy cyberatak - pamiętam ten styl złośliwego programowania z końca roku 1990 i początku roku 2000”, powiedział Jewgienij Kasperski, dyrektor generalny Kaspersky Lab. „Zastanawiam się, czy nie jest tak, że ci twórcy szkodliwego oprogramowania, którzy byli w stanie hibernacji przez ponad dekadę, nagle obudzili się i dołączyli do wyrafinowanej grupy aktorów zagrażających cyberprzestrzeni. Ci elitarni twórcy szkodliwego oprogramowania, wywodzący się ze ‘starej szkoły’ programistycznej, którzy byli niezwykle skuteczni w przeszłości w tworzeniu bardzo złożonych wirusów, teraz łączą swoje zdolności ze współczesnymi, wysoce zaawansowanymi exploitami omijającymi technologie sandboxowe, aby nękać jednostki samorządu terytorialnego lub instytucje badawcze w różnych krajach na całym świecie”.

„MiniDuke jest wysoce spersonalizowanym backdoorem, napisanym w asemblerze, posiadającym bardzo niewielki rozmiar 20 kilobajtów” - dodaje Jewgienij Kasperski. „Połączenie starych metod doświadczonych twórców szkodliwego oprogramowania z wykorzystaniem nowo odkrytych exploitów i sprytnych technik socjotechnicznych do łamania zabezpieczeń wyszukanych celów jest bardzo niebezpieczne”.

Główne wnioski z badania przeprowadzonego przez Kaspersky Lab:

  • Napastnicy posługujący się szkodliwym programem MiniDuke są nadal aktywni. Zagrożenie zostało stworzone w okolicach 20 lutego 2013 r. Aby skompromitować ofiary, atakujący używają niezwykle skutecznych metod socjotechnicznych, które obejmują wysyłanie do wybranych celów szkodliwych dokumentów PDF. Pliki PDF są bardzo istotne – ze względu na bardzo starannie sfabrykowaną zawartość, koncentrującą się na informacjach z seminarium dotyczącego praw człowieka (ASEM) oraz wiadomości dotyczących polityki zagranicznej Ukrainy i planów rozszerzenia członkostwa w NATO. Złośliwe pliki PDF są uzbrojone w exploity atakujące aplikację Adobe Reader w wersji 9, 10 i 11 oraz omijające metody sandboxowe. Do stworzenia exploitów użyto specjalnego zestawu narzędzi, a exploity wykorzystane w atakach MiniDuke'a wyposażone są we własne, niestandardowe złośliwe oprogramowanie.
  • Kiedy exploit zostanie pomyślnie wdrożony w systemie ofiary, niewielki downloader (o rozmiarze 20 KB) jest instalowany na dysku twardym zainfekowanego komputera. Downloader ten jest unikatowy dla każdego systemu i zawiera spersonalizowanego backdoora napisanego w asemblerze. Podczas swojego ładowania, przy uruchamianiu systemu operacyjnego, downloader wykonuje serię obliczeń matematycznych, aby określić unikatowy „odcisk palca” komputera, a następnie wykorzystuje te dane do jednoznacznego zaszyfrowania swoich późniejszych komunikatów. Szkodnik jest również zaprogramowany, aby unikać analizy przeprowadzanej przez zdefiniowany zestaw narzędzi w niektórych środowiskach, takich jak VMware. Jeżeli wykryje obecność wyspecjalizowanych narzędzi analitycznych, będzie działał w trybie bezczynności, zamiast przejść na dalszy etap aktywności i odsłonić więcej funkcjonalności poprzez odszyfrowanie swojej zawartości. Oznacza to, że twórcy szkodliwego oprogramowania dokładnie wiedzieli, co firmy antywirusowe i specjaliści ds. bezpieczeństwa IT robią w celu analizy i identyfikacji złośliwego oprogramowania.
  • Jeśli system docelowy spełnia wstępnie zdefiniowane wymagania, szkodnik używa Twittera (bez wiedzy użytkownika) i zaczyna poszukiwać tweetów z konkretnych kont. Te konta zostały stworzone przez operatorów centrum kontroli (C2) MiniDuke'a, a same tweety dostarczają specyficznych etykiet wskazujących zaszyfrowane adresy URL dla backdoora. Adresy URL zapewniają dostęp do serwerów kontroli, a także dostarczają poprzez pliki GIF do systemu ofiary potencjalne rozkazy i kolejne zaszyfrowane backdoory.
  • W oparciu o przeprowadzoną analizę widać wyraźnie, że twórcy MiniDuke'a postarali się również o dynamiczny system awaryjny, który także jest w stanie pozostawać w ukryciu. Jeżeli Twitter nie działa lub konta zostaną wyłączone, szkodnik potrafi użyć usługi Google Search, aby znaleźć zaszyfrowane ciągi do następnego serwera kontroli. Model ten jest niezwykle elastyczny i umożliwia operatorom stale zmieniać sposób, w jaki backdoory pobierają dalsze rozkazy lub fragmenty złośliwego kodu.
  • Kiedy zainfekowany system zlokalizuje serwer kontroli, otrzymuje zaszyfrowane backdoory, które są zamaskowane wewnątrz plików GIF – pojawiają się one jako zdjęcia na komputerze ofiary. Gdy pliki zostaną pobrane na urządzenie ofiary, same mogą pobrać większego backdoora, który jest w stanie wykonać kilka podstawowych czynności, takich jak: kopiowanie / przeniesienie pliku, usunięcie pliku, stworzenie katalogu, zakończenie procesu i, oczywiście, pobranie i uruchomienie nowego złośliwego oprogramowania.
  • Aby otrzymywać instrukcje od napastników, backdoor łączy się z dwoma serwerami centrum kontroli – w Panamie i w Turcji.


  • Analiza nowego zagrożenia przeprowadzona przez CrySys Lab jest dostępna na stronie: http://blog.crysys.hu/2013/02/miniduke/.

    Rozwiązania firmy Kaspersky Lab wykrywają i neutralizują zagrożenie MiniDuke, które jest klasyfikowane jako HEUR:Backdoor.Win32.MiniDuke.gen oraz Backdoor.Win32.Miniduke. Produkty Kaspersky Lab wykrywają również exploity osadzone w dokumentach PDF i klasyfikują je jako Exploit.JS.Pdfka.giy.

    Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.