Výzkumníci objevili novou globální kampaň proti počítačové špionáži

Výzkumní pracovníci v oblasti bezpečnosti identifikovali pokračující kampaň proti počítačové špionáži, která ohrozila 59 počítačů patřících vládním organizacím, výzkumným ústavům, think-tankům a soukromým společnostem z 23 zemí

Útoková kampaň byla objevena a analyzována výzkumníky z bezpečnostní firmy Kaspersky Lab a Laboratoř kryptografie a systémové bezpečnosti (CrySyS) Budapešťské technické a ekonomické univerzity.

Dubbed MiniDuke, útoková kampaň používaly cílené e-mailové zprávy - techniku ​​známou jako spear phishing - která obsahovala škodlivé soubory PDF zmanipulované recentem [

]

Využití bylo původně objeveno v aktivních útokech v tomto měsíci výzkumnými pracovníky zabezpečení z firmy FireEye a je schopen obejití ochrany sandboxu v aplikacích Adobe Reader 10 a 11. Společnost Adobe uvolnila bezpečnostní záplaty pro zranitelná místa, která byla cílem zneužití 20. února.

Nové útoky MiniDuke používají stejné zneužití identifikované firmou FireEye, ale s některými pokročilými úpravami Uvedl Costin Raiu, ředitel globálního výzkumného a analytického týmu společnosti Kaspersky Lab. To by mohlo naznačovat, že útočníci měli přístup ke sadu nástrojů, které byly použity k vytvoření původního zneužívání.

Škodlivé soubory PDF jsou neoprávněné kopie zpráv obsahujících obsah relevantní pro cílené organizace a zahrnují zprávu o neformálním zasedání Asie a Evropy (ASEM) o lidských právech, zprávu o ukrajinském akčním plánu pro členství v NATO, zprávu o regionální zahraniční politice Ukrajiny ao zprávě o Arménské hospodářské asociaci v roce 2013 a dalších.

Pokud je exploit úspěšný, nainstalujte malware, který je zašifrován s informacemi shromážděnými z postiženého systému. Tato šifrovací technika byla také použita v Gaussově kybernetickém malware a zabraňuje tomu, aby malware byl analyzován na jiném systému, řekl Raiu. Pokud je spuštěn na jiném počítači, malware bude spuštěn, ale nebude iniciovat jeho škodlivou funkci, řekl.

Dalším zajímavým aspektem této hrozby je to, že má velikost pouze 20 kB a byl napsán v Assembleru, což je zřídka používaná metoda dnes tvůrci malwaru. Jeho malá velikost je také neobvyklá ve srovnání s velikostí moderního malwaru, řekl Raiu. To naznačuje, že programátoři byli "stará škola", uvedl.

Kousek malwaru nainstalovaného během této první fáze útoku se připojí ke konkrétním Twitterovým účtům, které obsahují šifrované příkazy směřující na čtyři webové stránky, které fungují jako příkazy a příkazy, řídicích serverů. Tyto webové stránky, které jsou hostitelem v USA, Německu, Francii a Švýcarsku, obsahují šifrované soubory GIF, které obsahují druhý backdoor program.

Druhá backdoor je aktualizací prvního a zpětně se připojí k příkazovým a řídícím serverům stáhnout další backdoor program, který je jedinečně navržen pro každou oběť. Od středy serverů příkazu a kontroly byly v Portugalsku, na Ukrajině, v Německu a v Belgii hostovány pět různých backdoor programů pro pět jedinečných obětí v Portugalsku, v Německu a v Belgii. Tyto unikátní backdoor programy se připojují k různým serverům příkazů a kontrol v Panamě nebo v Turecku, a dovolí útočníkům, aby prováděli příkazy na infikovaných systémech.

Lidé za kampaňou Cyber-špionáž MiniDuke fungovaly nejméně od dubna 2012, kdy byl poprvé vytvořen jeden ze speciálních Twitter účtů, řekl Raiu. Nicméně je možné, že jejich činnost byla až do nedávné doby jemnější, když se rozhodli využít nového Adobe Readeru k tomu, aby kompromitovali co nejvíce organizací, než se zranitelnosti dostanou do patchů, řekl.

Malware, který byl použit v nových útokech, je jedinečný a nebyl dříve viděn, takže skupina mohla v minulosti použít jiný malware, řekl Raiu. S ohledem na širokou škálu cílů a globální povahu útoků mají útočníci pravděpodobně velkou agendu.

Oběti MiniDuke zahrnují organizace z Belgie, Brazílie, Bulharska, České republiky, Gruzie, Německa, Maďarska, Irska, Izraeli, Japonsku, Lotyšsku, Libanonu, Litvě, Černé Hoře, Portugalsku, Rumunsku, Rusku, Slovinsku, Španělsku, Turecku, Ukrajině, Spojeném království a Spojených státech. think tanků a zdravotnické společnosti byly tímto útokem postiženy, řekl Raiu, aniž by jmenoval jakoukoli z obětí.

Útok není tak složitý jako Flame nebo Stuxnet, ale je na vysoké úrovni nicméně, řekl Raiu. Neexistují žádné náznaky toho, odkud mohou útočníci působit nebo jaké jsou jejich zájmy.

To znamená, že backdoor kódovací styl připomíná skupinu spisovatelů malwaru známých jako 29A, o nichž se předpokládá, že jsou od roku 2008 zaniklé. "666" v kódu a 29A je hexadecimální reprezentace 666.

Hodnota "666" byla také nalezena v malwaru používaném v dřívějších útokech analyzovaných FireEye, ale tato hrozba se lišila od MiniDuke, Řekl Raiu. Otázka, zda jsou tyto dva útoky spřízněné, zůstává otevřená.

Zprávy o této kybernetické špionážní kampani přicházejí na paty obnovených diskusí o čínské hrozbě počítačové špionáže, zejména v USA, které byly vyvolány nedávnou zprávou bezpečnostní firma Mandiant. Zpráva obsahuje podrobnosti o dlouholeté aktivitě skupiny kyberpristérů nazývaných Posádkou komentářů, kterou Mandiant považuje za tajný cyberunit čínské armády. Čínská vláda tyto obvinění odmítla, zpráva však byla široce obsažena ve sdělovacích prostředcích.

Raiu uvedl, že žádný z dosud zjištěných obětí MiniDuke nebyl z Číny, ale odmítl spekulovat o významu této skutečnosti. Minulý týden vědečtí pracovníci z jiných společností identifikovali cílené útoky, které distribuovaly stejný způsob využívání souborů PDF jako kopie zprávy Mandiant.

Tyto útoky nainstalají malware, který byl zjevně čínského původu, řekl Raiu. Nicméně způsob, jakým byl exploit použit při těchto útokech, byl velmi hrubý a malware byl ve srovnání s MiniDukem nevyloženě vyspěl, řekl.