Otkriven novi malver MiniDuke korišćen u napadima na evropske organizacije

Opisi virusa, 28.02.2013, 07:59 AM

Stručnjaci ruske kompanije Kaspersky Lab i mađarske Laboratorije za kriptografju i bezbednost sistema CrySys Univerziteta za tehnologiju i ekonomiju u Budimpešti, otkrili su novi malver nazvan MiniDuke koji je tokom prošle nedelje korišćen u napadima na institucije, organizacije i privatne kompanije širom sveta.

Pažljivo birane mete među kojima se nalaze državne institucije Ukrajine, Belgije, Rumunije, Češke, Irske i drugih zemalja, instituti za istraživanja i jedna neimenovana američka zdravstvena organizacija dobijale su email poruke koje su sadržale PDF fajlove opremljene nedavno otkrivenim exploit-om za Adobe Reader 9, 10 i 11. Isti exploit, sposoban da zaobiđe sandbox zaštitu u Adobe Reader-u 10 i 11, koga otkrili stručnjaci firme FireEye ranije ovog meseca, aktivno je korišćen u napadima pa je Adbe 20. februara objavio zakrpe za ranjivosti koje koristi exploit.

U napadima malverom MiniDuke korišćen je isti exploit koga su otkrili stručnjaci FireEye-a, ali sa nekim izmenama, što može značiti da su napadači imali pristup programskom alatu koji je korišćen za razvoj originalnog exploit-a.

PDF fajlovi koji su stizali na email adrese žrtava su lažne kopije izveštaja sa sadržajem koji je relevantan za napadnute organizacije.

„Ovo je veoma neuobičajen sajber napad“, kaže Jevgenij Kasperski, direktor Kaspersky Lab-a. On kaže da se seća tog stila zlonamernog programiranja s kraja devedesetih i početka prošle decenije. Kasperski smatra da je moguće da su pisci ove vrste malvera hibernirali više od decenije da bi se iznenada probudili i pridružili današnjim autorima kompleksnih malvera. Reč je o eliti iz „stare škole“ pisanja malvera koja je bila vrlo efikasna u prošlosti i koja sada kombinuje svoja umeća sa novim naprednim exploit-ima koji zaobilaze sandbox zaštitu, smatra Kasperski.

MiniDuke je backdoor, koji sadrži 20KB veliki downloader. On je sposoban da izbegne detekciju od strane antivirusa, što ukazuje na to da njegovi autori tačno znaju kako stručnjaci iz oblasti antivirusne zaštite otkrivaju i analiziraju malvere.

Malver instaliran tokom prve faze napada se povezivao sa određenim Twitter nalozima koji su sadržali enkrptovane komande koje ukazuju na četiri web sajta koji su korišćeni kao serveri za komandu i kontrolu (C&C serveri). Ovi web sajtovi hostovani su u SAD, Nemačkoj, Francuskoj i Švajcarskoj, i na njima se nalaze GIF fajlovi koji sadrže drugi backdoor program koji ažurira prvi backdoor i povezuje se sa serverima za komandu i kontrolu kako bi preuzeo još jedan backdoor program koji je jedinstven za svku žrtvu. C&C serveri koji hostuju pet različitih backdoor programa za pet različitih žrtava otkriveni su u Portugaliji, Ukrajini, Nemačkoj i Belgiji. Ovi jedinstveni backdoor programi se povezuju sa različitim C&C serverima u Panami i Turskoj, i omogućavaju napadačima da pokrenu komande na zaraženim sistemima.

Oni koji stoje iza ove špijunske operacije aktivni su još od aprila prošle godine, kada je registrovan prvi njihov Twitter nalog. Moguće je da je njihova aktivnost bila suptilna pa tako i manje primetna sve do nedavno, kada su odlučili da iskoriste novi Adobe Reader exploit kako bi napali što veći broj organizacija pre nego što ranjivosti budu zakrpljene. Moguće je takođe i da je grupa i ranije delovala, ali da je koristila druge malvere.

Žrtve malvera MiniDuke su organizacije u Belgiji, Brazilu, Bugarskoj, Češkoj, Gruziji, Nemačkoj, Mađarskoj, Irskoj, Japanu, Letoniji, Libanonu, Litvaniji, Crnoj Gori, Portugliji, Rumuniji, Rusiji, Sloveniji, Španiji, Turskoj, Ukrajini, Velikoj Britaniji i SAD.

Napadi na ove organizacije nisu tako sofisticirani kao oni koje smo videli u slučaju malvera Flame i Stuxnet, ali se i ovde radi o ciljanim napadima sa pažljivo biranim žrtvama.

Nema naznaka ko bi mogao biti odgovoran za ove napade i za čije interese su oni izvođeni.

Vesti o novoj sajber špijunskoj operaciji sa malverom MiniDuke u glavnoj ulozi dolaze u trenutku kada se ponovo raspravlja o Kini kao o državi koja je odgovorna za sajber špijunažu u SAD. Nedavno je američka firme Mandiant objavila izveštaj koji se bavi višegodišnjim delovanjem kineske hakerke grupe koja se dovodi u vezu sa kineskom vojskom. Kineske vlasti uporno odbacuju ove optužbe, ali je izveštaj Mandiant-a ipak dobio ogromnu medisjku pažnju.

U Kaspersky Lab-u kažu da među žrtvama malvera MiniDuke za sada nema organizacija iz Kine, ali niko u kompaniji nije želeo da komentariše da li bi ta činjenica mogla da ima neko značenje.

Prošle nedelje, pomenuti izveštaj Mandiant-a iskorišćen je kao mamac u spear-phishing napadima u kojima se na računarima žrtava instalirao malver koji sasvim izvesno potiče iz Kine. Međutim, ti napadi su neuporedivi sa napadima malvera Duke u pogledu sofisticiranosti.

Više o svemu ovome možete saznati na blogovima Kaspersky Lab-a i CrySys-a.