Obsahuje:
  • všechny e-ziny od 9/1999
  • celou databázi NEWS
  • soutěže 2000-2011
  • další články a BONUSY

Security - News

http://crypto-world.info

Crypto - News | Security - News

02 / 2013
Vybrali pro vás: TR - Tomáš Rosa, JP - Jaroslav Pinkava, PV - Pavel Vondruška, VK - Vlastimil Klíma

Počítače vládních institucí (i v Česku) napadl malware MiniDuke

27.02.2013
Zprávu maďarské laboratoře Crysys najdete zde - Miniduke. Zprávu Kaspersky Lab pak na tomto odkazu - The MiniDuke Mystery: PDF 0-day Government Spy Assembler 0x29A Micro Backdoor .

Ze zprávy ČTK/Reuters:
Počítače vládních institucí v Česku napadl malware MiniDuke
Moskva a Praha, 27.2.2013 – Vládní instituce mimo jiné i v České republice se minulý týden staly cílem kybernetického útoku. Uvedla to antivirová společnost Kaspersky Lab ve spolupráci s výzkumníky maďarského institutu CrySys Lab. Kybernetický špionážní malware MiniDuke zneužívá nedávno objevenou zranitelnost v programu na prohlížení PDF souborů Adobe Reader (pod označením CVE-2013-6040).

Dle analýzy Kaspersky Lab a CrySys Lab se oběťmi malwaru MiniDuke staly významné cíle mimo jiné z řady vládních institucí v České republice, na Ukrajině, v Belgii, Portugalsku, Rumunsku a v Irsku. Kromě nich útočníci pronikli do výzkumného ústavu, dvou think tanků a zdravotnického zařízení v USA a výzkumné instituce v Maďarsku.

„Jde o dost neobvyklý útok,“ řekl Eugene Kaspersky, zakladatel a šéf Kaspersky Lab a dodal: „Pamatuji se na podobný styl škodlivých programů z přelomu devadesátých a nultých let. Zřejmě se tito autoři malwaru najednou probudili z desetileté hibernace a připojili se k aktivní sofistikované skupině kybernetických zločinců. Tihle elitní ‚old school‘ programátoři v minulosti vytvářeli velice efektivní, složité viry a teď své schopnosti propojují s nově rozvinutými sandbox-evading exploits, což využívají k útokům na vládní úřady nebo výzkumné instituce v řadě zemí.“

Hlavní zjištění analytiků Kaspersky Lab:

• Vysoce specializovaný backdoor malwaru MiniDuke byl napsán v Assembleru a má pouze 20kb, je tedy velice malý.
• Malware je stále aktivní, poslední záznamy o jeho činnosti pocházejí z 20. února 2013. Ke zneužití využívají útočníci velice účinné techniky sociálního inženýrství. Obětem zasílají škodlivé PDF dokumenty se zdánlivě relevantním obsahem – zfalšovanými informacemi o semináři o lidských právech (ASEM) a plánech Ukrajiny v zahraniční politice a o připojení k NATO. Tyto škodlivé soubory jsou prošpikovány kódy zaměřenými na verze 9, 10 a 11 programu Adobe Reader, obcházející jeho sandbox.
• Jakmile je systém zkompromitován, na disk oběti je nahrán malý downloader o velikosti 20kb. Pro každý systém je speciálně upraven a obsahuje pro něj specifický backdoor napsaný v Assembleru. Jakmile je spuštěn při bootování systému, využije downloader sadu matematických kalkulací k určení unikátního otisku počítače a později tato data využívá k šifrování vlastní komunikace. Navíc dokáže včas zachytit pokus o odhalení a okamžitě se v takovém případě zastaví. Jeho autoři zřejmě vědí přesně, jak experti IT a antivirových řešení pracují při odhalování malwaru.
• Pokud napadený systém splňuje požadované parametry, malware využije Twitter (bez vědomí uživatele) a pomocí speciálních tweetů z předem vytvořených účtů se umí spojit s Command and Control (C2) operátory malwaru MiniDuke. Ten je přitom velice flexibilní a nenápadný. Pokud nefunguje Twitter umí využít Google Search. Ke komunikaci využívají útočníci serverů v Panamě a v Turecku.
• Malware po nahrání do systému provádí řadu základních činností jako například kopírování, přesouvání, mazání souborů, vytváření adresářů, rušení procesů a také samozřejmě nahrávání a spouštění nového malwaru.

Viz také komentáře:
Zdroj: http://uk.reuters.com/article/2013/02/27/uk-cyberattack-miniduke-idUKBRE91Q0OE20130227
Autor: JP


<<- novější - Britská firma přichází s nápadem, který by mohl nahradit hesla
Design: Webdesign