A kutatók új, globális cyber-kémiai kampányt fedeztek fel

A biztonsági kutatók egy olyan folyamatos számítógépes kémiai kampányt azonosították, amely 59 kormányzati szervezet, kutatóintézet, think tank és magánvállalkozás

A támadási kampányt a Kaspersky Lab biztonsági cég és a Budapesti Műszaki és Gazdaságtudományi Egyetem titkosítási és rendszerbiztonsági laboratóriuma (CrySyS) kutatói kutatták és elemezték.

A MiniDuke, a támadási kampány célzott célzott e-mail üzeneteket - például a lándzsás adathalászat néven ismert technikát -, amelyek rosszindulatú PDF-fájlokat tartalmaztak egy recen segítségével Az Adobe Reader 9, 10 és 11 operációs rendszereihez hasonlóan a

[További olvasnivalók: A rosszindulatú programok eltávolítása Windows PC-ről]

A kizsákmányt eredetileg a FireEye biztonsági kutatói ebben a hónapban hogy az Adobe Reader 10 és 11 verziója megkerülje a homokozó védelmét. Az Adobe kiadta a biztonsági javításokat a kihasználás által érintett biztonsági réseket illetően.

Az új MiniDuke támadások ugyanazt a kizárást használják, amelyet a FireEye azonosított, de néhány fejlett módosítással Costin Raiu, a Kaspersky Lab globális kutató- és elemzőcsapatának igazgatója szerdán. Ez azt sugallhatja, hogy a támadók hozzáférést kaptak ahhoz az eszköztárhoz, amelyet az eredeti kizsákmányolás létrehozásához használtak.

A rosszindulatú PDF fájlok a célzott szervezetek releváns tartalmú jelentések hamis másolatai, és tartalmaznak egy jelentést az informális Asia-Europe Meeting (ASEM) szeminárium az emberi jogokról, jelentés az ukrán NATO-tagsági cselekvési tervről, jelentés Ukrajna külpolitikájáról és a 2013-as örmény gazdasági egyesületről szóló jelentés stb.

Ha a kizsákmányolás sikeres, telepítsen egy olyan rosszindulatú programot, amelyet az érintett rendszerből gyűjtött információk titkosítottak. Ezt a titkosítási technikát a Gauss cyber-kémszemű rosszindulatú programok is használják, és megakadályozza a rosszindulatú programok elemzését egy másik rendszeren, állítja Raiu. Ha egy másik számítógépen futtatják, akkor a rosszindulatú szoftverek végrehajtják, de nem indítják el a rosszindulatú funkciókat.

Egy másik érdekes szempontja ennek a fenyegetésnek az, hogy csak 20 KB méretű és Assemblerben íródott, ez ritkán használt módszer ma malware-készítőkkel. Kis mérete szintén szokatlan a modern malware méretéhez képest, mondta Raiu. Ez azt sugallja, hogy a programozók "régi iskolába jártak", mondta.

A támadás első szakaszában telepített rosszindulatú programcsalád olyan specifikus Twitter fiókokhoz kapcsolódik, amelyek titkosított parancsokat tartalmaznak, amelyek négy olyan webhelyre mutatnak, amelyek parancs- vezérlő szerverek. Ezek a webhelyek, amelyek az Egyesült Államokban, Németországban, Franciaországban és Svájcban találhatók, titkosított GIF-fájlokat tárolnak, amelyek egy második hátsó programot tartalmaznak.

A második hátsóajtó egy első frissítés, és visszatér a parancs- és vezérlőszerverekhez hogy még egy újabb backdoor programot töltsön le, amely egyedülállóan minden áldozat számára tervezett. Szerdán a parancs-és-vezérlő szerverek öt különböző hátsó ajtó programot szerveztek öt egyedi áldozathoz Portugáliában, Ukrajnában, Németországban és Belgiumban, mondta Raiu. Ezek az egyedülálló hátsó programok csatlakoznak a különböző parancs- és vezérlő szerverekhez Panamában vagy Törökországban, és lehetővé teszik a támadók számára, hogy parancsokat hajtsanak végre a fertőzött rendszereken.

A MiniDuke internetes kémkedés kampány mögött álló emberek legalább 2012. április óta működtek, amikor először létrejöttek az egyik speciális Twitter fiókok, Raiu mondta. Lehetséges azonban, hogy tevékenysége sokkal finomabb volt a közelmúltig, amikor úgy döntöttek, hogy kihasználják az új Adobe Reader kizsákmányolás előnyeit annak érdekében, hogy a lehető legtöbb szervezetet veszélybe sodorják, mielőtt a biztonsági réseket kihasználják.

Az új támadásokban használt rosszindulatú programok egyedülállóak, és még nem látták őket, így a csoport esetleg különböző rosszindulatú programokat használt a múltban, mondta Raiu. A támadások széles skáláján és a támadások globális természeténél fogva a támadók valószínűleg egy nagy napirendet tesznek, mondja.

A MiniDuke áldozatai Belgium, Brazília, Bulgária, Csehország, Grúzia, Németország, Magyarország, Írország Az Egyesült Államokban, Japánban, Lettországban, Libanonban, Litvániában, Montenegróban, Portugáliában, Romániában, Oroszországban, Szlovéniában, Spanyolországban, Törökországban, Ukrajnában, az Egyesült Királyságban és az Egyesült Államokban.

a Raiu azt mondta, anélkül, hogy megnevezné az áldozatokat.

A támadás nem annyira bonyolult, mint a Flame vagy a Stuxnet, de még mindig magas szintű, mondta Raiu. Nincsenek arra utaló jelek, hogy hol lehetnek a támadók, vagy milyen érdekel szolgálhatnak.

Ez azt jelenti, hogy a backdoor kódolási stílus emlékeztet a 29A néven ismert, 2008-ban elhúzódó rosszindulatú írókra. "666" aláírás a kódban, és 29A a 666 hexadecimális ábrázolása, Raiu elmondta.

A "666" érték a FireEye által elemzett korábbi támadásokban használt rosszindulatú programokban is megtalálható volt, de ez a veszély eltér a MiniDuke-tól, Raiu mondta. Nyilvánvaló, hogy a két támadás összefüggésben áll-e.

A cyber-kémiai kampány hírei a kínai cyber-kémiai fenyegetésről - különösen az USA-ban - megújult viták sarkán állnak, amelyeket egy nemrégiben közzétett jelentés indított Mandiant biztonsági cég. A jelentés részleteket tartalmaz a cyberattackerek egy csoportjának hosszú évek óta tartó tevékenységéről, melyben megemlítik a Comment Crew-t, hogy Mandiant szerint a kínai hadsereg titkos internetes egysége. A kínai kormány elutasította az állításokat, de a jelentést széles körben lefedték a média.

Raiu elmondta, hogy az eddig azonosított MiniDuke áldozatok egyike Kínából nem volt hajlandó spekulálni e tény jelentősége miatt. A múlt héten más vállalatok biztonsági kutatói szerint a célzott támadások ugyanazt a PDF-t használják, mint a Mandiant jelentésének másolatát.

Ezek a támadások olyan rosszindulatú programokat telepítettek, amelyek egyértelműen kínai származásúak voltak, mondta Raiu. Azonban a kizsákmányolás módja a támadásokban nagyon durva volt, és a rosszindulatú programok a MiniDuke-hoz viszonyítva kifogástalanok voltak.