Cercetătorii descoperă o nouă campanie globală de spionaj cibernetic

Cercetătorii în domeniul securității au identificat o campanie continuă de spionaj cibernetic care a compromis 59 de computere aparținând organizațiilor guvernamentale, institutelor de cercetare, ultimele 9 zile>

Campania de atac a fost descoperită și analizată de cercetători de la firma de securitate Kaspersky Lab și Laboratorul de Cryptografie și Securitate a Sistemului (CrySyS) al Universității de Tehnologie și Economie din Budapesta

Dublat MiniDuke, campania de atac a folosit mesaje de e-mail direcționate - o tehnică cunoscută sub numele de phishing-ul cu sulițe - care conțineau fișiere PDF rău intenționate cu un recen *

Explozia a fost descoperită inițial în atacurile active la începutul acestei luni de către cercetătorii de securitate de la FireEye și este capabilă să se ocupe de software-ul Adobe Reader 9, 10 și 11.

de ocolire a protecției sandbox-urilor din Adobe Reader 10 și 11. Adobe a lansat patch-uri de securitate pentru vulnerabilitățile vizate de exploat pe 20 februarie.

Noile atacuri MiniDuke utilizează același exploit identificat de FireEye, dar cu unele modificări avansate, a declarat A declarat miercuri Costin Raiu, directorul echipei globale de cercetare și analiză a Kaspersky Lab. Acest lucru ar putea sugera că atacatorii au avut acces la setul de instrumente care a fost folosit pentru a crea exploatația originală.

Fișierele PDF rău intenționate sunt copii necinstiți ale rapoartelor cu conținut relevant pentru organizațiile vizate și includ un raport privind reuniunea informală Asia-Europa (ASEM) privind drepturile omului, un raport privind planul de acțiune al Ucrainei privind aderarea la NATO, un raport privind politica externă regională a Ucrainei și un raport privind Asociația Economică Armeniană din 2013 și multe altele.

Dacă exploatarea are succes, instalați un fragment de malware care este criptat cu informații colectate de la sistemul afectat. Această tehnică de criptare a fost, de asemenea, folosită în malware-ul Gauss pentru spionaj cibernetic și împiedică analizarea malware-ului pe un alt sistem, a spus Raiu. În cazul în care rulează pe un alt calculator, malware-ul va executa, dar nu va iniția funcționalitatea sa malware, a spus el.

Un alt aspect interesant al acestei amenințări este că este de numai 20KB și a fost scris în Assembler, astăzi de creatorii de programe malware. Dimensiunea sa mică este, de asemenea, neobișnuită în comparație cu dimensiunea malware-ului modern, a spus Raiu. Acest lucru sugerează că programatorii au fost "old-school", a spus el.

Bucata de malware instalată în această primă etapă a atacului se conectează la anumite conturi Twitter care conțin comenzi criptate care indică patru site-uri web care acționează ca comandă- servere de control. Aceste site-uri, găzduite în SUA, Germania, Franța și Elveția, găzduiesc fișiere GIF criptate care conțin un al doilea program backdoor.

Al doilea backdoor este o actualizare a primului și se conectează la serverele de comandă și control pentru a descărca încă un program backdoor care este proiectat în mod unic pentru fiecare victimă. Începând de miercuri, serverele de comandă și control au găzduit cinci programe de backdoor diferite pentru cinci victime unice în Portugalia, Ucraina, Germania și Belgia, a spus Raiu. Aceste programe unice de backdoor se conectează la diferite servere de comandă și control din Panama sau Turcia, și permit atacatorilor să execute comenzi pe sistemele infectate.

Oamenii din spatele campaniei de spionaj ciudat MiniDuke au funcționat cel puțin din aprilie 2012, când a fost creat unul dintre conturile speciale Twitter, a spus Raiu. Cu toate acestea, este posibil ca activitatea lor să fie mai subtilă până de curând, când au decis să profite de noul program Adobe Reader pentru a compromite cât mai multe organizații, înainte ca vulnerabilitățile să fie patch-uri, a spus el.

Malware-ul utilizat în noile atacuri este unic și nu a fost văzut până acum, astfel încât grupul ar fi putut folosi diferite malware în trecut, a spus Raiu. Judecând după o gamă largă de obiective și prin natura globală a atacurilor, atacatorii au probabil o agendă mare, a spus el.

Victimele MiniDuke includ organizații din Belgia, Brazilia, Bulgaria, Cehia, Georgia, Germania, Ungaria, Irlanda, Israel, Japonia, Letonia, Liban, Lituania, Muntenegru, Portugalia, Romania, Rusia, Slovenia, Spania, Turcia, Ucraina, Marea Britanie si Statele Unite. grupurile de reflecție și o companie de sănătate au fost afectate de acest atac, a declarat Raiu fără a numi niciuna dintre victime.

Atacul nu este la fel de sofisticat ca Flame sau Stuxnet, dar este la nivel înalt, a spus Raiu. Nu există indicii cu privire la locul în care atacatorii ar putea opera și care sunt interesele pe care ar putea să le servească.

Acestea fiind spuse, stilul de codare a backdoor-ului amintește de un grup de scriitori malware cunoscuți sub numele de 29A, considerat a fi defunct din 2008. Există Semnatura "666" din cod și 29A reprezintă reprezentarea hexazecimală a lui 666. A fost găsit și valoarea "666" în malware-ul folosit în atacurile anterioare analizate de FireEye, dar această amenințare era diferită de cea a lui MiniDuke, A spus Raiu. Întrebarea dacă aceste două atacuri sunt legate rămâne deschisă.

Știrile despre această campanie de spionaj cibernetic se află la începutul discuțiilor reînnoite cu privire la amenințarea chineză de spionaj, în special în SUA, care a fost provocată de un raport recent al firma de securitate Mandiant. Raportul conține detalii despre activitatea de un an de zile a unui grup de ciberneți numiți Echipajul de Comentariu pe care Mandiant îl consideră a fi un cyberunit secret al armatei chineze. Guvernul chinez a respins acuzațiile, dar raportul a fost acoperit pe scară largă în presă.

Raiu a afirmat că niciuna dintre victimele MiniDuke identificate până în prezent nu a fost din China, dar a refuzat să speculeze cu privire la semnificația acestui fapt. Săptămâna trecută cercetătorii de securitate din alte companii au identificat atacuri direcționate care au distribuit aceleași exploatații PDF exploatate ca și copii ale raportului Mandiant.

Aceste atacuri au instalat programe malware care au fost în mod clar de origine chineză, a spus Raiu. Cu toate acestea, modul în care exploatatul a fost folosit în aceste atacuri a fost foarte brutal și malware-ul a fost nesofisticat în comparație cu MiniDuke, a spus el.