Kaspersky Lab informuje o swoim nowym projekcie badawczym, w którym przeanalizowany został szereg incydentów naruszeń bezpieczeństwa z wykorzystaniem wykrytego niedawno exploita PDF dla aplikacji Adobe Reader (CVE-2013-6040) oraz nowego, spersonalizowanego szkodliwego programu znanego jako MiniDuke. W ciągu ostatniego tygodnia MiniDuke został wykorzystany w atakach na wiele podmiotów i instytucji rządowych na całym świecie.
Eksperci z Kaspersky Lab we współpracy ze specjalistami z laboratorium CrySys Lab szczegółowo przeanalizowali ostatnie ataki i opublikowali swoje wnioski.
Według analizy Kaspersky Lab, MiniDuke atakuje sporo ważnych celów, łącznie z jednostkami rządowymi na Ukrainie, w Belgii, Portugalii, Rumunii, Czechach i Irlandii. Ponadto, skompromitowano instytut badawczy, dwa zespoły ekspertów i dostawcę usług medycznych w Stanach Zjednoczonych oraz prominentną fundację badawczą na Węgrzech.
– To jest bardzo nietypowy cyberatak – pamiętam ten styl złośliwego programowania z końca roku 1990 i początku roku 2000 – powiedział Jewgienij Kasperski, dyrektor generalny Kaspersky Lab. –Zastanawiam się, czy nie jest tak, że ci twórcy szkodliwego oprogramowania, którzy byli w stanie hibernacji przez ponad dekadę, nagle obudzili się i dołączyli do wyrafinowanej grupy aktorów zagrażających cyberprzestrzeni. Ci elitarni twórcy szkodliwego oprogramowania, wywodzący się ze ‘starej szkoły’ programistycznej, którzy byli niezwykle skuteczni w przeszłości w tworzeniu bardzo złożonych wirusów, teraz łączą swoje zdolności ze współczesnymi, wysoce zaawansowanymi exploitami omijającymi technologie sandboxowe, aby nękać jednostki samorządu terytorialnego lub instytucje badawcze w różnych krajach na całym świecie.
„MiniDuke jest wysoce spersonalizowanym backdoorem, napisanym w asemblerze, posiadającym bardzo niewielki rozmiar 20 kilobajtów” – dodaje Jewgienij Kasperski. „Połączenie starych metod doświadczonych twórców szkodliwego oprogramowania z wykorzystaniem nowo odkrytych exploitów i sprytnych technik socjotechnicznych do łamania zabezpieczeń wyszukanych celów jest bardzo niebezpieczne”.
Główne wnioski z badania przeprowadzonego przez Kaspersky Lab:
- Napastnicy posługujący się szkodliwym programem MiniDuke są nadal aktywni. Zagrożenie zostało stworzone w okolicach 20 lutego 2013 r. Aby skompromitować ofiary, atakujący używają niezwykle skutecznych metod socjotechnicznych, które obejmują wysyłanie do wybranych celów szkodliwych dokumentów PDF. Pliki PDF są bardzo istotne – ze względu na bardzo starannie sfabrykowaną zawartość, koncentrującą się na informacjach z seminarium dotyczącego praw człowieka (ASEM) oraz wiadomości dotyczących polityki zagranicznej Ukrainy i planów rozszerzenia członkostwa w NATO. Złośliwe pliki PDF są uzbrojone w exploity atakujące aplikację Adobe Reader w wersji 9, 10 i 11 oraz omijające metody sandboxowe. Do stworzenia exploitów użyto specjalnego zestawu narzędzi, a exploity wykorzystane w atakach MiniDuke’a wyposażone są we własne, niestandardowe złośliwe oprogramowanie.
- Kiedy exploit zostanie pomyślnie wdrożony w systemie ofiary, niewielki downloader (o rozmiarze 20 KB) jest instalowany na dysku twardym zainfekowanego komputera. Downloader ten jest unikatowy dla każdego systemu i zawiera spersonalizowanego backdoora napisanego w asemblerze. Podczas swojego ładowania, przy uruchamianiu systemu operacyjnego, downloader wykonuje serię obliczeń matematycznych, aby określić unikatowy „odcisk palca” komputera, a następnie wykorzystuje te dane do jednoznacznego zaszyfrowania swoich późniejszych komunikatów. Szkodnik jest również zaprogramowany, aby unikać analizy przeprowadzanej przez zdefiniowany zestaw narzędzi w niektórych środowiskach, takich jak VMware. Jeżeli wykryje obecność wyspecjalizowanych narzędzi analitycznych, będzie działał w trybie bezczynności, zamiast przejść na dalszy etap aktywności i odsłonić więcej funkcjonalności poprzez odszyfrowanie swojej zawartości. Oznacza to, że twórcy szkodliwego oprogramowania dokładnie wiedzieli, co firmy antywirusowe i specjaliści ds. bezpieczeństwa IT robią w celu analizy i identyfikacji złośliwego oprogramowania.
- Jeśli system docelowy spełnia wstępnie zdefiniowane wymagania, szkodnik używa Twittera (bez wiedzy użytkownika) i zaczyna poszukiwać tweetów z konkretnych kont. Te konta zostały stworzone przez operatorów centrum kontroli (C2) MiniDuke’a, a same tweety dostarczają specyficznych etykiet wskazujących zaszyfrowane adresy URL dla backdoora. Adresy URL zapewniają dostęp do serwerów kontroli, a także dostarczają poprzez pliki GIF do systemu ofiary potencjalne rozkazy i kolejne zaszyfrowane backdoory.
- W oparciu o przeprowadzoną analizę widać wyraźnie, że twórcy MiniDuke’a postarali się również o dynamiczny system awaryjny, który także jest w stanie pozostawać w ukryciu. Jeżeli Twitter nie działa lub konta zostaną wyłączone, szkodnik potrafi użyć usługi Google Search, aby znaleźć zaszyfrowane ciągi do następnego serwera kontroli. Model ten jest niezwykle elastyczny i umożliwia operatorom stale zmieniać sposób, w jaki backdoory pobierają dalsze rozkazy lub fragmenty złośliwego kodu.
- Kiedy zainfekowany system zlokalizuje serwer kontroli, otrzymuje zaszyfrowane backdoory, które są zamaskowane wewnątrz plików GIF – pojawiają się one jako zdjęcia na komputerze ofiary. Gdy pliki zostaną pobrane na urządzenie ofiary, same mogą pobrać większego backdoora, który jest w stanie wykonać kilka podstawowych czynności, takich jak: kopiowanie / przeniesienie pliku, usunięcie pliku, stworzenie katalogu, zakończenie procesu i, oczywiście, pobranie i uruchomienie nowego złośliwego oprogramowania.
- Aby otrzymywać instrukcje od napastników, backdoor łączy się z dwoma serwerami centrum kontroli – w Panamie i w Turcji.
Rozwiązania firmy Kaspersky Lab wykrywają i neutralizują zagrożenie MiniDuke, które jest klasyfikowane jako HEUR:Backdoor.Win32.MiniDuke.gen oraz Backdoor.Win32.Miniduke. Produkty Kaspersky Lab wykrywają również exploity osadzone w dokumentach PDF i klasyfikują je jako Exploit.JS.Pdfka.giy.