Mai multe guverne europene, inclusiv cel roman, au fost victima unui atac informatic neobisnuit, arata un raport Kaspersky

de Vlad Barza     HotNews.ro
Miercuri, 27 februarie 2013, 16:40 Economie | IT

Kaspersy Lab a publicat o analiza efectuata impreuna cu CrySys Lab, relevand faptul ca saptamana trecuta mai multe organizatii guvernamentale din lume, inclusiv din Romania, au fost victima unui atac informatic personalizat si ciudat. Malware-ul a fost denumit MiniDuke, iar in atacuri au fost utilizate exploit-urile PDF din Adobe Reader.

Potrivit analizei Kaspersky Lab, mai multe tinte importante au fost deja compromise de atacurile MiniDuke, inclusiv institutii guvernamentale din Ucraina, Belgia, Portugalia, Romania, Republica Ceha si Irlanda.

In Romania a fost atacat un IP din reteaua guvermului, atacurile detectate fiind in datele de 20, respectiv 24 februarie. In afara de guvernele europene, atacul a vizat si un think-tank din SUA si un furnizor de servicii de sanatate din aceasta tara. Cei de la Kaspersky spun ca vorbim de un atac neobisnuit din punct de vedere al metodei, iar ca tipologie sunt asemanari cu Octombrie Rosu fiindca si aici au fost tintite tot institutii guvernamentale.

"Acesta este un atac cibernetic foarte neobisnuit," comenteaza Eugene Kaspersky, fondatorul si CEO al Kaspersky Lab. "Imi amintesc acest tip de programare malware de la sfarsitul anilor 1990 si inceputul anilor 2000. Ma intreb daca nu cumva acesti programatori de malware, care au fost inactivi timp de mai mult de un deceniu, s-au trezit brusc si s-au alaturat unui grup complex de infractori activi in lumea cibernetica. Acesti programatori de malware de elita, de moda veche au fost foarte eficienti in trecut, creand virusi foarte complecsi, iar acum isi folosesc aceste abilitati in combinatie cu noile exploit-uri avansate, capabile sa evite protectia sandbox, pentru a ataca organizatii guvernamentale sau institutii de cercetare din diferite tari"
, explica Eugene Kaspersky.

Atacatorii MiniDuke sunt activi in prezent si au creat fisiere malware chiar si pe 20 februarie 2013. Pentru a compromite victimele, atacatorii au utilizat tehnici de inginerie sociala foarte avansate, care implica trimiterea de documente PDF malitioase catre tintele vizate, spun cei de la Kaspersky.

Documentele trimise erau create sa para foarte credibile pentru destinatari, avand un continut bine construit, care sa imite prezentarile despre un seminar pe tema drepturilor omului (ASEM), strategia de politica externa a Ucrainei si planurile NATO pentru tarile membre. Acestor fisiere PDF malitioase le-au fost atasate exploit-uri care sa atace versiunile Adobe Reader 9, 10 si 11, evitand protectia sandbox. Pentru a crea aceste exploit-uri, s-a folosit un set de instrumente care pare a fi acelasi cu cel utilizat in atacul care a fost semnalizat recent de FireEye. Insa, exploit-urile folosite in atacurile MiniDuke au avut alte scopuri si aveau propriul malware specializat.

Odata ce sistemul era exploatat, un program de descarcare de doar 20kb era instalat pe discul victimei. Programul de descarcare era unic pentru fiecare sistem si continea un backdoor specializat, scris in Assembler. Fiind incarcat de indata ce sistemul era pornit, programul de descarcare utiliza un set de calcule matematice pentru a stabili amprenta unica a computerului si folosea aceste date pentru a cripta intr-un mod unic actiunile de comunicare ulterioare.

De asemenea, programul era construit sa evite analiza de catre un set codificat de instrumente in anumite medii, cum ar fi VMware. Daca intalnea unul dintre acesti indicatori, programul ramanea inactiv in mediul respectiv, in loc sa treaca la stadiul urmator si sa isi expuna mai mult modalitatea de functionare printr-o decriptare suplimentara. Acest lucru indica faptul ca autorii malware-ului stiau cu exactitate ce fac specialistii in antivirusi si in securitate IT pentru a analiza si a identifica un malware.

Daca sistemul tintei corespundea cerintelor predefinite, malware-ul se folosea de Twitter, fara stirea utilizatorului, si incepea sa caute postari specifice de pe conturi create in prealabil. Aceste conturi erau create de operatorii de comanda si control ai MiniDuke, iar tweet-urile contineau etichete specifice care reprezentau URL-urile criptate pentru backdoor-uri. Aceste URL-uri ofereau acces catre centrele de comanda si de control, care furnizau in sistem potentiale comenzi si transferuri criptate de backdoor-uri suplimentare, prin intermediul fisierelor GIF.

Potrivit analizei, creatorii MiniDuke par sa furnizeze un sistem de backup dinamic care, de asemenea, poate trece neobservat. Daca Twitter nu functioneaza sau daca aceste conturi sunt inchise, malware-ul poate folosi Google Search pentru a gasi seria criptata pentru urmatorul centru de control si de comanda. Acest model este flexibil si permite operatorilor sa schimbe constant felul in care backdoor-urile trimit inapoi comenzile urmatoare sau codul de malware, in functie de nevoie.

Odata ce sistemul infectat localizeaza centrul de control si de comanda, acesta primeste backdoor-urile criptate camuflate in fisiere GIF si deghizate in fotografii care apar in computerul victimei. De indata ce sunt descarcate in computer, acestea pot descarca un backdoor de dimensiuni mai mari, care desfasoara cateva actiuni de baza, precum copierea, mutarea sau inlaturarea fisierelor, crearea de fisiere, blocarea unor actiuni si, bineinteles, descarcarea si executarea unui nou malware.

Backdoor-ul malware este conectat la doua servere, unul in Panama, altul in Turcia, pentru a primi instructiuni de la atacatori.


Citeste mai multe despre   












Astra Film Festival 2017

​VIDEO: Batrana, capra Sofica si cenzura comunista

Filmul Baloane de curcubeu, in regia lui Iosif Demian, respins de cenzura comunista, a avut lansarea dupa 35 de ani la Sibiu, in cadrul Festivalului Astra. Cu aceasta ocazie, in cadrul conferintei ce a precedat proiectia oficiala, am putut afla de la regizorul Iosif Demian cum functiona cenzura comunista asupra filmelor, cum a fost distribuit in rol actorul Dorel Visan sau povestea batranei si a caprei Sofica.

4259 vizualizari

  • -3 (7 voturi)    
    foarte tare (Miercuri, 27 februarie 2013, 16:43)

    stefan2008 [utilizator]

    Dupa ce ataca se mai si lauda cu ce au facut...
    • -1 (3 voturi)    
      clar (Miercuri, 27 februarie 2013, 18:32)

      ampersand [utilizator] i-a raspuns lui stefan2008

      Eu zic că-i o conspiraţie - o cârdăşie, româneşte spus - a tuturor companiilor de "computer security", din moment ce nicio alla nu-i dă-n gât - nu-i demască, adicătelea - p-ăştia de la Kaspersky. Ori Kaspersky e tata lor, din moment ce nimeni nu-i prinde. Iar tu clar eşti tata lu Kasperskz, din moment ce te-ai prins din prima.
  • +3 (3 voturi)    
    Assembler (Miercuri, 27 februarie 2013, 17:12)

    ampersand [utilizator]

    ca unul care-am "scris" in assembler aproape 10 ani, nu pot decat sa-mi scot palaria in fata lor - ceea ce, pe de alta parte, nu ma-mpiedica sa le doresc s-ajunga la zdup cat mai repede si pentru cat mai mult timp.
    • 0 (0 voturi)    
      Mare talent! Si sigur si multa munca. (Joi, 28 februarie 2013, 8:29)

      BEDE [utilizator] i-a raspuns lui ampersand

      Virusii din MS Office sunt parca facute de copii nevinovatzi fatza de ce face asta.
      Dar, deh, de cand Adobe a facut ca din fisierele .pdf sa se poata executa cod, evident a aparut si posibilitatea ca in ele sa se bage tot felul de malware/spyware...
      Mare talent al celor care au facut asaceva. Ba inca da impresia ca nu a fost ceva facut de un amator (adica amator in sensul ca acea activitate nu-i este platita in mod direct), ci de o organizatie care urmareste anumite obiective relativ bine definite. Care sa fie acea organizatie? Nu cumva sa fie chiar Kaspesky? Sau?
  • +1 (1 vot)    
    Genial! (Miercuri, 27 februarie 2013, 17:29)

    Bee [utilizator]

    Pot doar sa spun ca e geniala arhitectura sistemul.
  • 0 (0 voturi)    
    * (Miercuri, 27 februarie 2013, 18:02)

    Kappa [utilizator]

    Nu cred ca este vb.despre asta.
    Daca ai o gashca de minti capabile, de ce nu-i pui in serviciul tau, pe un pret corespunzator, bineinteles?
    Daca n-o faci tu, o s-o faca altii ( NSA-ul? ).
    Si, n-am nimic cu traducatorul, DAR, shi pt.Dlui, mentionez cuvintele cheie "BACKDOOR write in ASSEMEBLER".
    Cati studenti din ziua de azi in IT shtiu ce-i aia Backcdoor (o varianta a calului Troian din Odiseea?) shi citi stiu sa creeze un program minimal in Assembler?
    Restul, putzini, nu mai fac mai parte de mult, pe motiv de varsta dintre studenti, shi nici din aceasta minoritate, pe motiv de lipsa de cunoastere, se organizeaza.
    A cui ii vina?


Abonare la comentarii cu RSS



ESRI

Top 5 articole cele mai ...



Hotnews
Agenţii de ştiri

Siteul Hotnews.ro foloseste cookie-uri. Cookie-urile ne ajută să imbunatatim serviciile noastre. Mai multe detalii, aici.
hosted by
powered by
developed by
mobile version
Miercuri