O grupo Global de Pesquisa e Análise da Kaspersky Lab ( GReAT) publicou uma nota na qual descreve uma nova campanha de ciberespionagem avançada que utiliza malware para infectar entidades relevantes e muito específicas. Acredita-se que, nos Estados Unidos, a Casa Branca e o Departamento do Estado estão entre os alvos, embora a lista do atacante também inclua organizações governamentais e entidades comerciais na Alemanha, Coreia do Sul e Uzbequistão.
Além do foco muito preciso em vítimas de alto padrão, o ator apresenta outras características preocupantes, embora fascinantes, que incluem o uso de recursos de criptografia e antidetecção. Por exemplo, o código busca a presença de vários produtos de segurança com o objetivo de invadi-los. Entre eles, estão: Kaspersky Lab, Sophos, DrWeb, Avira, Crystal e Comodo Dragon.
Conexão com outros atores de ciberespionagem
Os especialistas em segurança da Kaspersky Lab desmascararam a forte funcionalidade maliciosa do programa, assim como semelhanças estruturais nas ferramentas das campanhas de ciberespionagem MiniDuke, CosmicDuke e OnionDuke; operações que, segundo vários indicadores, são administradas por autores russos. As observações da Kaspersky Lab mostram que MiniDuke e CosmicDuke estão ativos e atacando organizações diplomáticas, embaixadas, energia, companhias de gás e petróleo, telecomunicações, militares e instituições acadêmicas e de investigação em vários países.
Método de distribuição
O ator do CozyDuke frequentemente infecta seus alvos com e-mails que contêm um link para um site da web hakeado – às vezes, trata-se de sites legítimos de alto padrão, como 'diplomacy.pl' – que abriga um arquivo ZIP infectado com um malware. Em outras operações bem-sucedidas, o ator envia vídeos flash falsos com arquivos executáveis maliciosos, como e-mails anexos.
O CozyDuke utiliza uma porta traseira e um "dropper" (instalador). O programa malicioso envia informações sobre o alvo do servidor de comando e controle, e recupera arquivos de configuração e módulos adicionais que implementam alguma funcionalidade extra necessária para os atacantes.
"Vigiamos o MiniDuke e o CosmicDuke por dois anos. A Kaspersky Lab foi a primeira a avisar sobre os ataques do MiniDuke em 2013, e as amostras mais "antigas" conhecidas desta ciberameaça são de 2008. O CozyDuke está definitivamente conectado a estas duas campanhas, assim como a operação de ciberespionagem OnionDuke. Cada um destes atores continua rastreando seus alvos e nós acreditamos que suas ferramentas de espionagem estão sendo criadas e administradas por russos", disse Kurt Baumgartner, investigador principal de Segurança do Time Global de Pesquisa e Análise da Kaspersky Lab.
