Tehnologija
Sada čitate
MiniDuke – novi zlonamerni program

Kompanija Kaspersky Lab identifikovala je MiniDuke, novi zlonamerni program dizajniran za špijunažu višestrukih vladinih entiteta i institucija širom sveta. Nove pretnje kombinuju sofisticirano pisanje zlonamernih programa „stare škole“ sa novim naprednim sigurnosnim propustima u programu Adobe Reader kako bi bile prikupljene geopolitičke informacije od uglednih korisnika.

Tim stručnjaka kompanije Kaspersky Lab objavio je krajem februara novi izveštaj istraživanja koje obuhvata analizu niza bezbednosnih incidenata koji uključuju upotrebu nedavno otkrivenog PDF sigurnosnog propusta u programu Adobe Reader (CVE-2013-6040), kao i novi, visokoprilagođen zlonamerni program poznat kao MiniDuke. MiniDuke bekdor je korišćen za napad na više vladinih entiteta i institucija širom sveta tokom februara. Stručnjaci kompanije Kaspersky Lab, u partnerstvu sa kompanijom CrySys Lab, analizirali su napade detaljno i objavili su svoje nalaze.

Zaraženi PDF dokument

Prema analizi kompanije Kaspersky Lab, određen broj uglednih ciljanih žrtava već je kompromitovan zbog napada zlonamernog programa MiniDuke, obuhvatajući vladine entitete u Ukrajini, Belgiji, Portugalu, Rumuniji, Češkoj i Irskoj. Pored toga, ugroženi su i istraživački institute kao i pružaoci zdravstvenih usluga u Sjedinjenim Državama, ali i istaknuta istraživačka fondacija u Mađarskoj.

„Ovo je veoma neobičan sajber napad“, rekao je Eugen Kasperski, osnivač i direktor kompanije Kaspersky Lab. „Sećam se ovakvog stila zlonamernog programiranja krajem 1990-ih i početkom 2000-ih. Pitam se da li su se ove vrste kreatora zlonamernih programa, koji su bili u stanju hibernacije više od decenije, iznenada probudili i pridružili grupi aktera sofisticiranih pretnji aktivnih u virtuelnom svetu. Ovi elitni kreatori malvera „stare škole“ bili su izuzetno efikasni u prošlosti u stvaranju veoma složenih virusa, a sada kombinuju ove veštine sa novim naprednim sigurnosnim propustima sandbox-evading za ciljanje vladinih entiteta ili istraživačkih institucija u nekoliko zemalja.“

U kodu se može naći mali trag u vidu cifre 666 iza koje sledi dekripciona sabrutina

„MiniDuke-ov veoma prilagođen bekdor napisan je u asembleru i veoma je malih dimenzija, od samo 20 kb“, dodao je Kasperski. „Ovi tipovi kompaktnih, a ipak veoma sofisticiranih zlonamernih programa često su bili pisani u asembleru i bili su veoma česti u vreme VX grupe ‘29A’, ali retko mogu biti viđeni danas. Kombinacija iskusnih starih kreatora zlonamernih programa koji koriste novootkrivene sigurnosne propuste i pametan socijalni inženjering kako bi ugrozili ugledne ciljne gupe izuzetno je opasna.“

Prvi rezultati istraživanja kompanije Kaspersky Lab:

  • MiniDuke napadači su i dalje aktivni i stvorili su zlonamerne programe 20. februara 2013. Kako bi ugrozili svoje žrtve, napadači koriste veoma efektne inženjerske tehnike društvenih mreža, kao što su slanje zlonamernih PDF dokumenata. Ti PDF dokumenti veoma su relevantni – sa dobro osmišljenim sadržajem koji prikazuje informacije o seminaru za ljudska prava (ASEM), kao i ukrajinsku polisu za strance i plan za članove NATO-a. U ovim PDF dokumentima nalaze se sigurnosni propusti koji napadaju Adobe Reader 9, 10 i 11, zaobilazeći njihov sandbox. Izgleda da je paket korišćen za pravljenje ovih sigurnosnih propusta isti onaj koji je korišćen u skorašnjem napadu koji je prijavio FireEye. Bilo kako blo, sigurnosni propusti korišćeni u MiniDuke napadima imaju drugačiju svrhu i malver posebno napravljene za ovaj napad.
  • Čim je sistem napadnut, veoma mali downloader, veličine samo 20kb, postavlja se na disk žrtve. Ovaj downloader je jedinstven za svaki sistem i sadrži posebno napravljeni bekdor napisan u Assembler-u. Kada se postavi u sistem za pokretanje programa, downloader koristi niz matematičkih proračuna kako bi otkrio jedinstveni kod kompjutera, a zauzvrat koristi ove podatke kako bi na jedinstven način kasnije šifrovao komunikacije. Takođe je napravljen tako da može da izbegne fiksirani niz alatki u određenoj sredini kao što je VMware. Ukoliko naiđe na bilo koji od ovih indikatora, mirovaće u toj sredini umesto da pređe na drugi nivo i još više ugrozi funkcionalnost svojim daljim dešifrovanjem. To nam pokazuje da oni koji prave malvere znaju tačno šta antivirus programi i IT bezbednost rade kako bi ih analizirali i identifikovali.

Zlonamerni tvit

  • Ukoliko napadnuti sistem ispuni zahteve koji su prethodno određeni, malveri će koristiti Twitter (bez znanja korisnika) i početi da traže specifične tvitove sa naloga koji su prethodno napravljeni. Ove naloge su napravili operateri MiniDuke komande i kontrole (C2), a tvitovi sadrže specifične tagove koji označavaju šifrovane URL-ove za bekdorove. Ovi URL-ovi obezbeđuju pristup C2, koji omogućuje potencijalne komande i šifrovane transfere dodatnih bekdorova na sistem preko GIF dokumenata.

GIF fajl sa dodatnim bekdorom

  • Na osnovu analiza čini se da su kreatori MiniDuke-a obezbedili dinamični rezervni sistem koji takođe može biti otkriven. Ukoliko Twitter ne radi, ili su nalozi ugašeni, malver može da koristi i Google Search kako bi pronašao šifrovani niz do sledećeg C2. Ovaj model je fleksibilan i omogućava da operater stalno menja način na koji njegovi bekdorovi po potrebi vraćaju dalje komande ili zlonamerne kodove.
  • Kada zaraženi sistem locira C2, on prima šifrovane bekdorove koji su zamaskirani u okviru GIF dokumenata i prikazuju se kao slike koje se pojavljuju na žrtvinoj mašini. Kada ih mašina preuzme, mogu da preuzimaju veće bekdorove koji obavljaju nekoliko osnovnih radnji, kao što je kopiranje dokumenata, pomeranje dokumenata, pravljenje imenika, obustavljanje procesa i, naravno, preuzimanje novog malvera.
  • Bekdorovi zlonamernih programa povezuju se na dva servera, jedan u Panami a jedan u Turskoj, kako bi primili instrukcije od napadača.

Kompletan izveštaj može se naći na sajtu Securelist.

Izvor: Kaspersky Lab

O autoru
TajmLajn