Kaspersy Lab a publicat o analiza efectuata impreuna cu CrySys Lab, relevand faptul ca saptamana trecuta mai multe organizatii guvernamentale din lume, inclusiv din Romania, au fost victima unui atac informatic personalizat si ciudat. Malware-ul a fost denumit MiniDuke, iar in atacuri au fost utilizate exploit-urile PDF din Adobe Reader.

Potrivit analizei Kaspersky Lab, mai multe tinte importante au fost deja compromise de atacurile MiniDuke, inclusiv institutii guvernamentale din Ucraina, Belgia, Portugalia, Romania, Republica Ceha si Irlanda.

In Romania a fost atacat un IP din reteaua guvermului, atacurile detectate fiind in datele de 20, respectiv 24 februarie. In afara de guvernele europene, atacul a vizat si un think-tank din SUA si un furnizor de servicii de sanatate din aceasta tara. Cei de la Kaspersky spun ca vorbim de un atac neobisnuit din punct de vedere al metodei, iar ca tipologie sunt asemanari cu Octombrie Rosu fiindca si aici au fost tintite tot institutii guvernamentale.

"Acesta este un atac cibernetic foarte neobisnuit," comenteaza Eugene Kaspersky, fondatorul si CEO al Kaspersky Lab. "Imi amintesc acest tip de programare malware de la sfarsitul anilor 1990 si inceputul anilor 2000. Ma intreb daca nu cumva acesti programatori de malware, care au fost inactivi timp de mai mult de un deceniu, s-au trezit brusc si s-au alaturat unui grup complex de infractori activi in lumea cibernetica. Acesti programatori de malware de elita, de moda veche au fost foarte eficienti in trecut, creand virusi foarte complecsi, iar acum isi folosesc aceste abilitati in combinatie cu noile exploit-uri avansate, capabile sa evite protectia sandbox, pentru a ataca organizatii guvernamentale sau institutii de cercetare din diferite tari", explica Eugene Kaspersky.

Atacatorii MiniDuke sunt activi in prezent si au creat fisiere malware chiar si pe 20 februarie 2013. Pentru a compromite victimele, atacatorii au utilizat tehnici de inginerie sociala foarte avansate, care implica trimiterea de documente PDF malitioase catre tintele vizate, spun cei de la Kaspersky.

Documentele trimise erau create sa para foarte credibile pentru destinatari, avand un continut bine construit, care sa imite prezentarile despre un seminar pe tema drepturilor omului (ASEM), strategia de politica externa a Ucrainei si planurile NATO pentru tarile membre. Acestor fisiere PDF malitioase le-au fost atasate exploit-uri care sa atace versiunile Adobe Reader 9, 10 si 11, evitand protectia sandbox. Pentru a crea aceste exploit-uri, s-a folosit un set de instrumente care pare a fi acelasi cu cel utilizat in atacul care a fost semnalizat recent de FireEye. Insa, exploit-urile folosite in atacurile MiniDuke au avut alte scopuri si aveau propriul malware specializat.

Odata ce sistemul era exploatat, un program de descarcare de doar 20kb era instalat pe discul victimei. Programul de descarcare era unic pentru fiecare sistem si continea un backdoor specializat, scris in Assembler. Fiind incarcat de indata ce sistemul era pornit, programul de descarcare utiliza un set de calcule matematice pentru a stabili amprenta unica a computerului si folosea aceste date pentru a cripta intr-un mod unic actiunile de comunicare ulterioare.

De asemenea, programul era construit sa evite analiza de catre un set codificat de instrumente in anumite medii, cum ar fi VMware. Daca intalnea unul dintre acesti indicatori, programul ramanea inactiv in mediul respectiv, in loc sa treaca la stadiul urmator si sa isi expuna mai mult modalitatea de functionare printr-o decriptare suplimentara. Acest lucru indica faptul ca autorii malware-ului stiau cu exactitate ce fac specialistii in antivirusi si in securitate IT pentru a analiza si a identifica un malware.

Daca sistemul tintei corespundea cerintelor predefinite, malware-ul se folosea de Twitter, fara stirea utilizatorului, si incepea sa caute postari specifice de pe conturi create in prealabil. Aceste conturi erau create de operatorii de comanda si control ai MiniDuke, iar tweet-urile contineau etichete specifice care reprezentau URL-urile criptate pentru backdoor-uri. Aceste URL-uri ofereau acces catre centrele de comanda si de control, care furnizau in sistem potentiale comenzi si transferuri criptate de backdoor-uri suplimentare, prin intermediul fisierelor GIF.

Potrivit analizei, creatorii MiniDuke par sa furnizeze un sistem de backup dinamic care, de asemenea, poate trece neobservat. Daca Twitter nu functioneaza sau daca aceste conturi sunt inchise, malware-ul poate folosi Google Search pentru a gasi seria criptata pentru urmatorul centru de control si de comanda. Acest model este flexibil si permite operatorilor sa schimbe constant felul in care backdoor-urile trimit inapoi comenzile urmatoare sau codul de malware, in functie de nevoie.

Odata ce sistemul infectat localizeaza centrul de control si de comanda, acesta primeste backdoor-urile criptate camuflate in fisiere GIF si deghizate in fotografii care apar in computerul victimei. De indata ce sunt descarcate in computer, acestea pot descarca un backdoor de dimensiuni mai mari, care desfasoara cateva actiuni de baza, precum copierea, mutarea sau inlaturarea fisierelor, crearea de fisiere, blocarea unor actiuni si, bineinteles, descarcarea si executarea unui nou malware.

Backdoor-ul malware este conectat la doua servere, unul in Panama, altul in Turcia, pentru a primi instructiuni de la atacatori.