Nesta quinta-feira, 28, a equipe de especialistas da Kaspersky Lab publica um novo relatório de investigação de uma série de incidentes de segurança que usaram um exploit no PDF do Adobe Reader (CVE-2013-6040) e um novo e altamente personalizado programa malicioso conhecido como MiniDuke. A “backdoor” do MiniDuke foi usada para atacar diversas entidades governamentais e instituições no mundo inteiro durante a semana passada. Os especialistas da Kaspersky Lab, em parceria com a CrySys Lab, analisaram os ataques detalhadamente e publicam agora as suas conclusões.
De acordo com a análise da Kaspersky Lab, um número de alvos de perfil relevante já foram comprometidos pelos ataques do MiniDuke, inclusive entidades governamentais em Portugal, Ucrânia, Bélgica, Roménia, República Checa, Irlanda e também no Brasil. Além disso, um instituto de investigação, dois “think tanks” e um prestador de serviços de saúde nos Estados Unidos também foram atacados, assim como uma fundação de pesquisa proeminente na Hungria.
“Este é um ciberataque muito excepcional,” disse Eugene Kaspersky, fundador e CEO da Kaspersky Lab. “Lembro deste estilo de programação maliciosa do final dos anos 1990 e início dos anos 2000. E me questiono se este tipo de programadores de malware, que estiveram ‘hibernados’ durante mais de uma década, terão subitamente despertado e se juntado ao grupo de cibercriminosos atualmente ativo no cibermundo.
Estes programadores de malware de elite foram extremamente eficazes no passado na criação de vírus altamente complexos, e combinam agora essas habilidades com novos e avançados exploits capazes de contornar sistemas de sandbox, de forma a atacar entidades governamentais ou instituições de investigação em vários países. ”
“A backdoor do MiniDuke, altamente personalizada, foi escrita em Assembler e é muito pequena em tamanho, pesando apenas 20 KB” acrescentou Eugene Kaspersky. A combinação de ‘velhos’ criadores de malware com novas técnicas de exploit recentemente descobertas e esquemas de engenharia social inteligente para comprometer alvos de elevado perfil é extremamente perigosa.”
As principais conclusões listadas pela Kaspersky Lab são:
• Os atacantes do MiniDuke estão ainda ativos e continuaram a criar malware até há muito pouco tempo – no último dia 20 de Fevereiro de 2013 ainda o faziam. Para comprometer as suas vítimas, os atacantes usaram técnicas de engenharia social extremamente eficazes, que implicaram o envio de documentos PDF maliciosos aos seus alvos. Os PDFs eram de elevada importância – com conteúdos bem trabalhados, contendo informação falsa sobre um suposto seminário dedicado aos direitos humanos (ASEM), bem como dados sobre a política externa da Ucrânia e planos de adesão à NATO. Estes PDF maliciosos foram manipulados de forma fraudulenta com exploits que atacam as versões 9, 10 e 11 do Adobe Reader, contornando os sistemas de ‘sandbox’. Um ‘toolkit’ foi usado para criar estes exploits e parece ser o mesmo que esteve na origem do ataque recente reportado pela FireEye. Contudo, os exploits usados no MiniDuke tinham diferentes objetivos e continham o seu próprio malware personalizado.
• Uma vez explorado o sistema, um downloader muito pequeno é deixado no disco da vítima, tendo apenas 20 KB. Este downloader é singular e contém uma backdoor escrita em Assembler. Quando carregado no arranque do sistema, o downloader usa um conjunto de cálculos matemáticos para determinar a impressão digital única do computador, usando estes dados para encriptar depois as suas comunicações. Também é programado para evitar a análise por o conjunto codificado de ferramentas existente em certos ambientes, como VMware. Ao se deparar com algum desses indicadores, o malware se “esconde” no sistema em vez de avançar para outra etapa e expor, assim, a sua funcionalidade; isto indica que os escritores do malware sabem exatamente o que os programas antivírus e os profissionais de segurança TI estão fazendo para analisar e identificar o malware.
• Se o sistema do alvo corresponder aos requisitos predefinidos, o malware usa o Twitter (sem conhecimento do utilizador) e começa a procurar tweets específicos de contas pré-configuradas. Estas contas foram criadas pelos operadores de Command and Control (C2) do MiniDuke, e os tweets mantêm tags específicas com etiquetas de URLs encriptadas para as backdoors. Estas URLs abrem as portas aos C2s, que depois emitem comandos e transferências encriptadas de backdoors adicionais para o sistema, através de ficheiros GIF.
• Com base nesta análise, ao que tudo indica os criadores do MiniDuke proporcionam um sistema de backup dinâmico que também pode funcionar sem ser detectado. Se o Twitter não estiver funcionando ou as contas não estiverem logadas, o malware pode usar também a Pesquisa do Google para encontrar as correntes encriptadas para o C2 seguinte. Este modelo é flexível e permite aos operadores modificar constantemente a forma como as suas backdoors recuperam ordens ou código malicioso à medida das necessidades.
• Assim que o sistema infectado localiza o C2, recebe backdoors encriptadas que são escondidas dentro de ficheiros GIF e disfarçadas como fotos que aparecem na máquina da vítima. Assim que são descarregados na máquina, passam a ser capazes de fazer o download de uma backdoor que executa várias ações básicas, como copiar, mover e apagar arquivos, criar diretórios, interromper processos e, naturalmente, carregar e executar novo malware.
• A backdoor do malware liga-se a dois servidores, um no Panamá e um na Turquia, para receber instruções dos atacantes.