MiniDuke: Kaspersky Lab identifica novo programa de espionagem

0

Nesta quinta-feira, 28, a equipe de especialistas da Kaspersky Lab publica um novo relatório de investigação de uma série de incidentes de segurança que usaram um exploit no PDF do Adobe Reader (CVE-2013-6040) e um novo e altamente personalizado programa malicioso conhecido como MiniDuke. A “backdoor” do MiniDuke foi usada para atacar diversas entidades governamentais e instituições no mundo inteiro durante a semana passada. Os especialistas da Kaspersky Lab, em parceria com a CrySys Lab, analisaram os ataques detalhadamente e publicam agora as suas conclusões.

De acordo com a análise da Kaspersky Lab, um número de alvos de perfil relevante já foram comprometidos pelos ataques do MiniDuke, inclusive entidades governamentais em Portugal, Ucrânia, Bélgica, Roménia, República Checa, Irlanda e também no Brasil. Além disso, um instituto de investigação, dois “think tanks” e um prestador de serviços de saúde nos Estados Unidos também foram atacados, assim como uma fundação de pesquisa proeminente na Hungria.

“Este é um ciberataque muito excepcional,” disse Eugene Kaspersky, fundador e CEO da Kaspersky Lab. “Lembro deste estilo de programação maliciosa do final dos anos 1990 e início dos anos 2000. E me questiono se este tipo de programadores de malware, que estiveram ‘hibernados’ durante mais de uma década, terão subitamente despertado e se juntado ao grupo de cibercriminosos atualmente ativo no cibermundo.

Estes programadores de malware de elite foram extremamente eficazes no passado na criação de vírus altamente complexos, e combinam agora essas habilidades com novos e avançados exploits capazes de contornar sistemas de sandbox, de forma a atacar entidades governamentais ou instituições de investigação em vários países. ”

“A backdoor do MiniDuke, altamente personalizada, foi escrita em Assembler e é muito pequena em tamanho, pesando apenas 20 KB” acrescentou Eugene Kaspersky. A combinação de ‘velhos’ criadores de malware com novas técnicas de exploit recentemente descobertas e esquemas de engenharia social inteligente para comprometer alvos de elevado perfil é extremamente perigosa.”

As principais conclusões listadas pela Kaspersky Lab são:

• Os atacantes do MiniDuke estão ainda ativos e continuaram a criar malware até há muito pouco tempo – no último dia 20 de Fevereiro de 2013 ainda o faziam. Para comprometer as suas vítimas, os atacantes usaram técnicas de engenharia social extremamente eficazes, que implicaram o envio de documentos PDF maliciosos aos seus alvos. Os PDFs eram de elevada importância – com conteúdos bem trabalhados, contendo informação falsa sobre um suposto seminário dedicado aos direitos humanos (ASEM), bem como dados sobre a política externa da Ucrânia e planos de adesão à NATO. Estes PDF maliciosos foram manipulados de forma fraudulenta com exploits que atacam as versões 9, 10 e 11 do Adobe Reader, contornando os sistemas de ‘sandbox’. Um ‘toolkit’ foi usado para criar estes exploits e parece ser o mesmo que esteve na origem do ataque recente reportado pela FireEye. Contudo, os exploits usados no MiniDuke tinham diferentes objetivos e continham o seu próprio malware personalizado.

• Uma vez explorado o sistema, um downloader muito pequeno é deixado no disco da vítima, tendo apenas 20 KB. Este downloader é singular e contém uma backdoor escrita em Assembler. Quando carregado no arranque do sistema, o downloader usa um conjunto de cálculos matemáticos para determinar a impressão digital única do computador, usando estes dados para encriptar depois as suas comunicações. Também é programado para evitar a análise por o conjunto codificado de ferramentas existente em certos ambientes, como VMware. Ao se deparar com algum desses indicadores, o malware se “esconde” no sistema em vez de avançar para outra etapa e expor, assim, a sua funcionalidade; isto indica que os escritores do malware sabem exatamente o que os programas antivírus e os profissionais de segurança TI estão fazendo para analisar e identificar o malware.

• Se o sistema do alvo corresponder aos requisitos predefinidos, o malware usa o Twitter (sem conhecimento do utilizador) e começa a procurar tweets específicos de contas pré-configuradas. Estas contas foram criadas pelos operadores de Command and Control (C2) do MiniDuke, e os tweets mantêm tags específicas com etiquetas de URLs encriptadas para as backdoors. Estas URLs abrem as portas aos C2s, que depois emitem comandos e transferências encriptadas de backdoors adicionais para o sistema, através de ficheiros GIF.

• Com base nesta análise, ao que tudo indica os criadores do MiniDuke proporcionam um sistema de backup dinâmico que também pode funcionar sem ser detectado. Se o Twitter não estiver funcionando ou as contas não estiverem logadas, o malware pode usar também a Pesquisa do Google para encontrar as correntes encriptadas para o C2 seguinte. Este modelo é flexível e permite aos operadores modificar constantemente a forma como as suas backdoors recuperam ordens ou código malicioso à medida das necessidades.

• Assim que o sistema infectado localiza o C2, recebe backdoors encriptadas que são escondidas dentro de ficheiros GIF e disfarçadas como fotos que aparecem na máquina da vítima. Assim que são descarregados na máquina, passam a ser capazes de fazer o download de uma backdoor que executa várias ações básicas, como copiar, mover e apagar arquivos, criar diretórios, interromper processos e, naturalmente, carregar e executar novo malware.

• A backdoor do malware liga-se a dois servidores, um no Panamá e um na Turquia, para receber instruções dos atacantes.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.