Naukowcy odkrywają nową kampanię cyberprzestępczości

Badacze bezpieczeństwa zidentyfikowali trwającą kampanię cyberprzestępczą, która naruszyła 59 komputerów należących do organizacji rządowych, instytutów badawczych, ośrodków analitycznych i prywatnych firm z 23 krajów w ostatnich 10 dni.

Kampania ataku została odkryta i przeanalizowana przez naukowców z firmy ochroniarskiej Kaspersky Lab oraz Laboratorium Kryptografii i Bezpieczeństwa Systemu (CrySyS) na Uniwersytecie Technologii i Ekonomii w Budapeszcie.

Dubbed MiniDuke, kampania ataku używane ukierunkowane wiadomości e-mail - technika określana jako spear phishing - zawierała złośliwe pliki PDF z dopalaniem tly poprawiony exploit dla Adobe Reader 9, 10 i 11.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Exploit został odkryty w aktywnych atakach na początku tego miesiąca przez badaczy bezpieczeństwa z FireEye i jest w stanie omijania ochrony piaskownicy w programach Adobe Reader 10 i 11. Adobe wydało poprawki zabezpieczeń luk, których atak dotyczył 20 lutego.

Nowe ataki MiniDuke używają tego samego exploita, który został zidentyfikowany przez FireEye, ale z pewnymi zaawansowanymi modyfikacjami, powiedział Costin Raiu, dyrektor globalnego zespołu badawczo-analitycznego Kaspersky Lab, w środę. Może to sugerować, że atakujący mieli dostęp do zestawu narzędzi, który został użyty do stworzenia oryginalnego exploita.

Szkodliwe pliki PDF to nieuczciwe kopie raportów z treściami istotnymi dla wybranych organizacji i zawierają raport na temat nieformalnego spotkania Azja-Europa (ASEM) seminarium na temat praw człowieka, sprawozdanie z ukraińskiego planu działania na rzecz członkostwa w NATO, sprawozdanie na temat regionalnej polityki zagranicznej Ukrainy oraz sprawozdanie na temat Ormiańskiego Stowarzyszenia Gospodarczego w 2013 r. I nie tylko.

Jeśli exploit się powiedzie, nieuczciwe pliki PDF zainstalować kawałek złośliwego oprogramowania zaszyfrowanego informacjami zebranymi z systemu, którego dotyczy luka. Ta technika szyfrowania została również wykorzystana w złośliwym oprogramowaniu Gauss do cyberprzestępczości i zapobiega analizie szkodliwego oprogramowania w innym systemie, powiedział Raiu. Jeśli uruchomi się na innym komputerze, złośliwe oprogramowanie zostanie uruchomione, ale nie zainicjuje swojej złośliwej funkcjonalności, powiedział.

Kolejnym interesującym aspektem tego zagrożenia jest to, że ma tylko 20 KB i został napisany w Asembler - metodzie rzadko używanej dziś przez twórców złośliwego oprogramowania. Jego mały rozmiar jest również niezwykły w porównaniu do rozmiaru współczesnego szkodliwego oprogramowania, powiedział Raiu. Sugeruje to, że programiści byli "oldschoolowymi", powiedział.

Fragment złośliwego oprogramowania zainstalowany podczas pierwszego etapu ataku łączy się z określonymi kontami na Twitterze, które zawierają zaszyfrowane polecenia wskazujące na cztery strony internetowe, które działają jako polecenia-i- serwery kontrolne. Te witryny, które są hostowane w USA, Niemczech, Francji i Szwajcarii, przechowują zaszyfrowane pliki GIF, które zawierają drugi program typu backdoor.

Drugi backdoor jest aktualizacją pierwszego i łączy się z serwerami kontroli i kontroli pobrać kolejny program backdoor, który jest specjalnie zaprojektowany dla każdej ofiary. W środę serwery kontroli i kontroli hostowały pięć różnych programów typu backdoor dla pięciu wyjątkowych ofiar w Portugalii, Ukrainie, Niemczech i Belgii, powiedział Raiu. Te unikalne programy typu backdoor łączą się z różnymi serwerami kontroli i kontroli w Panamie lub Turcji. i pozwalają atakującym na wykonywanie poleceń w zainfekowanych systemach.

Ludzie odpowiedzialni za kampanię cyberprzestępczą MiniDuke działali od co najmniej kwietnia 2012 roku, kiedy po raz pierwszy utworzono jedno ze specjalnych kont na Twitterze, powiedział Raiu. Jest jednak możliwe, że ich aktywność była jeszcze bardziej subtelna do niedawna, kiedy zdecydowali się wykorzystać nowy exploit Adobe Readera do skompromitowania jak największej liczby organizacji, zanim luki zostaną załatane, powiedział.

Szkodliwe oprogramowanie użyte w nowych atakach jest wyjątkowe i nie było wcześniej widziane, więc grupa mogła kiedyś używać różnych złośliwych programów, powiedział Raiu. Sądząc po szerokiej gamie celów i globalnym charakterze ataków, napastnicy prawdopodobnie mają duży program, powiedział.

Ofiarami MiniDuke są organizacje z Belgii, Brazylii, Bułgarii, Czech, Gruzji, Niemiec, Węgier, Irlandii, Izrael, Japonia, Łotwa, Liban, Litwa, Czarnogóra, Portugalia, Rumunia, Rosja, Słowenia, Hiszpania, Turcja, Ukraina, Wielka Brytania i Stany Zjednoczone.

W Stanach Zjednoczonych instytut badawczy, dwa pro-amerykańskie think tanków i firmy opieki zdrowotnej zostały dotknięte przez ten atak, powiedział Raiu bez nazywania żadnej z ofiar.

Atak nie jest tak wyrafinowany jak Flame czy Stuxnet, ale mimo to jest na wysokim poziomie, powiedział Raiu. Nic nie wskazuje na to, gdzie atakujący mogą operować i na jakie interesy mogą służyć.

Podobno styl kodowania backdoora przypomina grupę twórców szkodliwego oprogramowania znanych jako 29A, które uważa się za nieistniejące od 2008 roku. "666" podpis w kodzie i 29A to szesnastkowa reprezentacja 666, powiedział Raiu.

Wartość "666" została również znaleziona w szkodliwym oprogramowaniu używanym w wcześniejszych atakach analizowanych przez FireEye, ale to zagrożenie było inne niż MiniDuke, Powiedział Raiu. Pytanie, czy te dwa ataki są powiązane, pozostaje otwarte.

Wiadomości o tej cyber-szpiegowskiej kampanii pojawiają się po piętach wznowionych dyskusji na temat chińskiego zagrożenia cyber-szpiegiem, szczególnie w USA, które zostało poparte niedawnym raportem z firma ochroniarska Mandiant. Raport zawiera szczegółowe informacje na temat wieloletniej działalności grupy cyberataków nazwanych "The Comment Crew", które Mandiant uważa za tajną jednostkę chińskiej armii. Chiński rząd odrzucił zarzuty, ale raport był szeroko omawiany w mediach.

Raiu powiedział, że żadna z ofiar MiniDuke zidentyfikowanych do tej pory nie była z Chin, ale odmówiła spekulowania na temat znaczenia tego faktu. W zeszłym tygodniu analitycy bezpieczeństwa z innych firm zidentyfikowali ukierunkowane ataki, które rozprowadziły ten sam exploit w formacie PDF, podszywając się pod kopie raportu Mandiant.

To atakuje zainstalowane złośliwe oprogramowanie, które było wyraźnie pochodzenia chińskiego, powiedział Raiu. Jednak sposób, w jaki exploit został wykorzystany w tych atakach, był bardzo surowy, a złośliwe oprogramowanie było niewyszukane w porównaniu do MiniDuke'a, powiedział.