Zprávu ma?arské laborato?e Crysys najdete zde -
Miniduke. Zprávu Kaspersky Lab pak na tomto odkazu -
The MiniDuke Mystery: PDF 0-day Government Spy Assembler 0x29A Micro Backdoor .
Ze zprávy ?TK/Reuters:
Po?íta?e vládních institucí v ?esku napadl malware MiniDuke
Moskva a Praha, 27.2.2013 – Vládní instituce mimo jiné i v ?eské republice se minulý týden staly cílem kybernetického útoku. Uvedla to antivirová spole?nost Kaspersky Lab ve spolupráci s výzkumníky ma?arského institutu CrySys Lab. Kybernetický špionážní malware MiniDuke zneužívá nedávno objevenou zranitelnost v programu na prohlížení PDF soubor? Adobe Reader (pod ozna?ením CVE-2013-6040).
Dle analýzy Kaspersky Lab a CrySys Lab se ob??mi malwaru MiniDuke staly významné cíle mimo jiné z ?ady vládních institucí v ?eské republice, na Ukrajin?, v Belgii, Portugalsku, Rumunsku a v Irsku. Krom? nich úto?níci pronikli do výzkumného ústavu, dvou think tank? a zdravotnického za?ízení v USA a výzkumné instituce v Ma?arsku.
„Jde o dost neobvyklý útok,“ ?ekl Eugene Kaspersky, zakladatel a šéf Kaspersky Lab a dodal: „Pamatuji se na podobný styl škodlivých program? z p?elomu devadesátých a nultých let. Z?ejm? se tito auto?i malwaru najednou probudili z desetileté hibernace a p?ipojili se k aktivní sofistikované skupin? kybernetických zlo?inc?. Tihle elitní ‚old school‘ programáto?i v minulosti vytvá?eli velice efektivní, složité viry a te? své schopnosti propojují s nov? rozvinutými sandbox-evading exploits, což využívají k útok?m na vládní ú?ady nebo výzkumné instituce v ?ad? zemí.“
Hlavní zjišt?ní analytik? Kaspersky Lab:
• Vysoce specializovaný backdoor malwaru MiniDuke byl napsán v Assembleru a má pouze 20kb, je tedy velice malý.
• Malware je stále aktivní, poslední záznamy o jeho ?innosti pocházejí z 20. února 2013. Ke zneužití využívají úto?níci velice ú?inné techniky sociálního inženýrství. Ob?tem zasílají škodlivé PDF dokumenty se zdánliv? relevantním obsahem – zfalšovanými informacemi o seminá?i o lidských právech (ASEM) a plánech Ukrajiny v zahrani?ní politice a o p?ipojení k NATO. Tyto škodlivé soubory jsou prošpikovány kódy zam??enými na verze 9, 10 a 11 programu Adobe Reader, obcházející jeho sandbox.
• Jakmile je systém zkompromitován, na disk ob?ti je nahrán malý downloader o velikosti 20kb. Pro každý systém je speciáln? upraven a obsahuje pro n?j specifický backdoor napsaný v Assembleru. Jakmile je spušt?n p?i bootování systému, využije downloader sadu matematických kalkulací k ur?ení unikátního otisku po?íta?e a pozd?ji tato data využívá k šifrování vlastní komunikace. Navíc dokáže v?as zachytit pokus o odhalení a okamžit? se v takovém p?ípad? zastaví. Jeho auto?i z?ejm? v?dí p?esn?, jak experti IT a antivirových ?ešení pracují p?i odhalování malwaru.
• Pokud napadený systém spl?uje požadované parametry, malware využije Twitter (bez v?domí uživatele) a pomocí speciálních tweet? z p?edem vytvo?ených ú?t? se umí spojit s Command and Control (C2) operátory malwaru MiniDuke. Ten je p?itom velice flexibilní a nenápadný. Pokud nefunguje Twitter umí využít Google Search. Ke komunikaci využívají úto?níci server? v Panam? a v Turecku.
• Malware po nahrání do systému provádí ?adu základních ?inností jako nap?íklad kopírování, p?esouvání, mazání soubor?, vytvá?ení adresá??, rušení proces? a také samoz?ejm? nahrávání a spoušt?ní nového malwaru.
Viz také komentá?e:
