MiniDuke – нова шкідлива програма для кібершпіонажу

«Лабораторія Касперського» опублікувала звіт про дослідження ряду інцидентів, що сталися минулого тижня і пов’язаних з черговим прикладом кібершпіонажу проти урядових установ і наукових організацій по всьому світу. В ході атаки зловмисники застосували поєднання складних шкідливих кодів «старої школи» вирусописательстве і нових просунутих технологій використання вразливостей в Adobe Reader – і все це для того, щоб отримати дані геополітичного характеру з відповідних організацій.

Шкідлива програма MiniDuke поширювалася за допомогою нещодавно виявленого експлойта для Adobe Reader (CVE -2013-6040). За даними дослідження, проведеного «Лабораторією Касперського» спільно з угорською компанією CrySys Lab, серед жертв кібершпіонской програми MiniDuke виявилися державні установи України, Бельгії, Португалії, Румунії, Чехії та Ірландії. Крім того, від дій кіберзлочинців постраждали дослідний інститут, два науково-дослідних центру та медичний заклад в США, а також дослідницький фонд в Угорщині.

«Це дуже незвичайна кібератака, – пояснює Євген Касперський, генеральний директор« Лабораторії Касперського ». – Я добре пам’ятаю, що подібний стиль програмування в шкідливий ПО використовувався в кінці 1990-х – початку 2000-х. Поки не дуже зрозуміло, чому ці вирусописатели «прокинулися» через 10 років і приєдналися до «просунутим» кіберзлочинцям. Ці елітні письменники шкідливих програм старого гарту, успішні в створенні складних вірусів, зараз суміщають свої здібності з новими методами відходу від захисних технологій для того, щоб атакувати державні установи та наукові організації в різних країнах ».

«Створений спеціально для цих атак бекдор MiniDuke написаний на Асемблері і надзвичайно малий – всього 20 Кб, – додає Євген Касперський. – Поєднання досвіду «олдскульних» вірусописьменників з новітніми експлойта і хитрими прийомами соціальної інженерії – вкрай небезпечна суміш ».

У ході дослідження експерти «Лабораторії Касперського» прийшли до наступних висновків:

1) Автори MiniDuke досі продовжують свою активність, останній раз вони модифікували шкідливу програму 20 лютого 2013. Для проникнення в системи жертв кіберзлочинці використовували ефективні прийоми соціальної інженерії, за допомогою яких розсилали шкідливі PDF-документи.

Ці документи представляли собою актуальний і добре підібраний набір сфабрикованої контенту. Зокрема, вони містили інформацію про семінар з прав людини (ASEM), дані про зовнішню політику України, а також плани країн-учасниць НАТО.

Всі ці документи містили експлойти, атакуючі 9, 10 і 11 версії програми Adobe Reader. Для створення цих експлойтів був використаний той же інструментарій, що і при недавніх атаках, про які повідомляла компанія FireEye. Однак у складі MiniDuke ці експлойти використовувалися для інших цілей і містили власний шкідливий код.

2) При зараженні системи на диск жертви потрапляв слабкий завантажувач, розміром всього 20 Кб. Він унікальний для кожної системи і містить бекдор, написаний на Асемблері.

Крім того, він уміє вислизати від інструментів аналізу системи, вбудованих в деякі середовища, зокрема, в VMWare. У разі виявлення одного з них бекдор припиняв свою діяльність з тим, щоб приховати свою присутність в системі. Це говорить про те, що автори шкідливої програми мають чітке уявлення про методи роботи антивірусних компаній.

3) Якщо атакується система відповідає заданим вимогам, шкідлива програма буде (таємно від користувача) використовувати Twitter для пошуку спеціальних твітів від заздалегідь створених акаунтів. Ці акаунти були створені операторами бекдора MiniDuke, а твіти від них підтримують специфічні теги, маркирующие зашифровані URL-адреси для бекдора. Ці URL-адреси надають доступ до серверів управління, які, у свою чергу, забезпечують виконання команд і установку бекдорів на заражену систему через GIF-файли.

4) За результатами аналізу стало відомо, що творці MiniDuke використовують динамічну резервну систему комунікації, яка також може вислизати від антивірусних засобів захисту – якщо Twitter не працює або акаунти неактивні, шкідлива програма може використовувати Google Search для того щоб знайти зашифровані посилання до нових серверів управління .

5) Як тільки заражена система встановлює з’єднання з сервером управління, вона починає отримувати зашифровані бекдори через GIF-файли, які маскуються під картинки на комп’ютері жертви. Після завантаження на машину, ці бекдори можуть виконувати декілька базових дій: копіювати, переміщати або видаляти файли, створювати каталоги, зупиняти процеси і, звичайно, завантажувати і виконувати нові шкідливі програми.

6) Бекдор виходить на зв’язок з двома серверами – в Панамі і Туреччини, – для того щоб отримати інструкції від кіберзлочинців.

It is main inner container footer text