Eksperci z Kaspersky Lab zidentyfikowali nowego groźnego szkodnika - MiniDuke

Firma Kaspersky Lab poinformowała o swoim nowym projekcie badawczym, w którym przeanalizowany został szereg incydentów naruszeń bezpieczeństwa z wykorzystaniem wykrytego niedawno exploita PDF dla aplikacji Adobe Reader oraz nowego, spersonalizowanego szkodliwego programu znanego jako MiniDuke.

W ciągu ostatniego tygodnia MiniDuke został wykorzystany w atakach na wiele podmiotów i instytucji rządowych na całym świecie. Eksperci z Kaspersky Lab we współpracy ze specjalistami z laboratorium CrySys Lab szczegółowo przeanalizowali ostatnie ataki i opublikowali swoje wnioski.

Według analizy MiniDuke atakuje dużo ważnych celów, łącznie z jednostkami rządowymi w Belgii, Portugalii, Rumunii, Czechach, Ukrainie i Irlandii. Ponadto, skompromitowano instytut badawczy, dwa zespoły ekspertów i dostawcę usług medycznych w Stanach Zjednoczonych oraz prominentną fundację badawczą na Węgrzech.

„To jest bardzo nietypowy cyberatak - pamiętam ten styl złośliwego programowania z końca roku 1990 i początku roku 2000. Zastanawiam się, czy nie jest tak, że ci twórcy szkodliwego oprogramowania, którzy byli w stanie hibernacji przez ponad dekadę, nagle obudzili się i dołączyli do wyrafinowanej grupy aktorów zagrażających cyberprzestrzeni.

Ci elitarni twórcy szkodliwego oprogramowania, wywodzący się ze ‘starej szkoły’ programistycznej, którzy byli niezwykle skuteczni w przeszłości w tworzeniu bardzo złożonych wirusów, teraz łączą swoje zdolności ze współczesnymi, wysoce zaawansowanymi exploitami omijającymi technologie sandboxowe, aby nękać jednostki samorządu terytorialnego lub instytucje badawcze w różnych krajach na całym świecie”. - powiedział Jewgienij Kasperski, dyrektor generalny Kaspersky Lab.

„MiniDuke jest wysoce spersonalizowanym backdoorem, napisanym w asemblerze, posiadającym bardzo niewielki rozmiar 20 kilobajtów. Połączenie starych metod doświadczonych twórców szkodliwego oprogramowania z wykorzystaniem nowo odkrytych exploitów i sprytnych technik socjotechnicznych do łamania zabezpieczeń wyszukanych celów jest bardzo niebezpieczne”. - dodaje Jewgienij Kasperski.

Główne wnioski z badania przeprowadzonego przez Kaspersky Lab:

Napastnicy posługujący się szkodliwym programem MiniDuke są nadal aktywni. Zagrożenie zostało stworzone w okolicach 20 lutego 2013 r. Aby skompromitować ofiary, atakujący używają niezwykle skutecznych metod socjotechnicznych, które obejmują wysyłanie do wybranych celów szkodliwych dokumentów PDF.

Pliki PDF są bardzo istotne – ze względu na bardzo starannie sfabrykowaną zawartość, koncentrującą się na informacjach z seminarium dotyczącego praw człowieka (ASEM) oraz wiadomości dotyczących polityki zagranicznej Ukrainy i planów rozszerzenia członkostwa w NATO.

Złośliwe pliki PDF są uzbrojone w exploity atakujące aplikację Adobe Reader w wersji 9, 10 i 11 oraz omijające metody sandboxowe. Do stworzenia exploitów użyto specjalnego zestawu narzędzi, a exploity wykorzystane w atakach MiniDuke'a wyposażone są we własne, niestandardowe złośliwe oprogramowanie.

Kiedy exploit zostanie pomyślnie wdrożony w systemie ofiary, niewielki downloader (o rozmiarze 20 KB) jest instalowany na dysku twardym zainfekowanego komputera. Downloader ten jest unikatowy dla każdego systemu i zawiera spersonalizowanego backdoora napisanego w asemblerze. Podczas swojego ładowania, przy uruchamianiu systemu operacyjnego, downloader wykonuje serię obliczeń matematycznych, aby określić unikatowy „odcisk palca” komputera, a następnie wykorzystuje te dane do jednoznacznego zaszyfrowania swoich późniejszych komunikatów.

Szkodnik jest również zaprogramowany, aby unikać analizy przeprowadzanej przez zdefiniowany zestaw narzędzi w niektórych środowiskach, takich jak VMware. Jeżeli wykryje obecność wyspecjalizowanych narzędzi analitycznych, będzie działał w trybie bezczynności, zamiast przejść na dalszy etap aktywności i odsłonić więcej funkcjonalności poprzez odszyfrowanie swojej zawartości. Oznacza to, że twórcy szkodliwego oprogramowania dokładnie wiedzieli, co firmy antywirusowe i specjaliści ds. bezpieczeństwa IT robią w celu analizy i identyfikacji złośliwego oprogramowania.

Jeśli system docelowy spełnia wstępnie zdefiniowane wymagania, szkodnik używa Twittera (bez wiedzy użytkownika) i zaczyna poszukiwać tweetów z konkretnych kont. Te konta zostały stworzone przez operatorów centrum kontroli (C2) MiniDuke'a, a same tweety dostarczają specyficznych etykiet wskazujących zaszyfrowane adresy URL dla backdoora. Adresy URL zapewniają dostęp do serwerów kontroli, a także dostarczają poprzez pliki GIF do systemu ofiary potencjalne rozkazy i kolejne zaszyfrowane backdoory.

Na podstawie przeprowadzonej analizy widać wyraźnie, że twórcy MiniDuke'a postarali się również o dynamiczny system awaryjny, który także jest w stanie pozostawać w ukryciu. Jeżeli Twitter nie działa lub konta zostaną wyłączone, szkodnik potrafi użyć usługi Google Search, aby znaleźć zaszyfrowane ciągi do następnego serwera kontroli. Model ten jest niezwykle elastyczny i umożliwia operatorom stale zmieniać sposób, w jaki backdoory pobierają dalsze rozkazy lub fragmenty złośliwego kodu.

Kiedy zainfekowany system zlokalizuje serwer kontroli, otrzymuje zaszyfrowane backdoory, które są zamaskowane wewnątrz plików GIF – pojawiają się one jako zdjęcia na komputerze ofiary. Gdy pliki zostaną pobrane na urządzenie ofiary, same mogą pobrać większego backdoora, który jest w stanie wykonać kilka podstawowych czynności, takich jak: kopiowanie / przeniesienie pliku, usunięcie pliku, stworzenie katalogu, zakończenie procesu i, oczywiście, pobranie i uruchomienie nowego złośliwego oprogramowania.

Aby otrzymywać instrukcje od napastników, backdoor łączy się z dwoma serwerami centrum kontroli – w Panamie i w Turcji.

Firma Kaspersky Lab informuje, że jej oprogramowanie antywirusowe potrafi już wykrywać i neutralizować zagrożenie MiniDuke, które jest klasyfikowane jako „HEUR:Backdoor.Win32.MiniDuke.gen” oraz „Backdoor.Win32.Miniduke”. Produkty Kaspersky Lab wykrywają również exploity osadzone w dokumentach PDF i klasyfikują je jako „Exploit.JS.Pdfka.giy”.

Źródło: Kaspersky Lab, inf. prasowa, arstechnica (foto), securelist (foto), rt (foto), cnet (foto)