Revista si suplimente
MarketWatch
Inapoi Inainte

Technology >> Securitate >> Stiri si comunicate

Kaspersky Lab informeaza ca atacurile MiniDuke au revenit in forta

07 Iulie 2014



Troianul MiniDuke, descoperit de cercetatorii Kaspersky in 2013 si care a atacat si institutiile guvernamentale din Romania, este in continuare activ si este utilizat in campanii noi, care vizeaza atat agentii guvernamentale cat si alte institutii. Noua platforma MiniDuke – BotGenStudio – ar putea fi folosita nu numai de atacatori APT, ci si de organismele de aplicare a legii, sau de catre infractori.


Desi actorul din spatele MiniDuke APT si-a oprit campania sau cel putin i-a diminuat activitatea in urma anunțului facut de Kaspersky Lab impreuna cu partenerul sau CrySyS Lab anul trecut, la inceputul anului 2014 acesta a reinceput atacurile in forta. De aceasta data, expertii Kaspersky Lab au observat modificari in modul de atac si in ceea ce priveşte instrumentele utilizate.


Dupa expunerea din anul 2013, actorul din spatele MiniDuke a inceput sa utilizeze un alt troian, capabil sa sustraga mai multe tipuri de informatii. Malware-ul emuleaza aplicatii populare care sunt construite pentru a rula in fundal, imitand inclusiv icon-urile si dimensiunile fisierelor.


„Noul” MiniDuke (cunoscut si ca “TinyBaron” sau “CosmicDuke”) este compilat cu un framework personalizabil, numit BotGenStudio. Acesta este foarte flexibil şi are o arhitectura modulara. Malware-ul este capabil sa sustraga o varietate de informatii, cum ar fi date generale despre retea, capturi de ecran, date din clipboard, date din Microsoft Outlook si Windows Address Book, parole din Skype, Google Chrome, Google Talk, Opera, The Bat!, Firefox, Thunderbird, informatii din Protected Storage, Certificate/chei private si parole introduse prin tastatura.


Stocarea datelor sustrase este o alta caracteristica interesanta a MiniDuke. Cand un fisier este incarcat pe server-ul de comanda si control, acesta este impartit in mai multe segmente de mici dimensiuni (~3kb), care sunt comprimate, criptate si introduse intr-un container, pentru a fi plasate pe server. Daca fisierul este suficient de mare, acesta poate fi plasat in mai multe containere care sunt incarcate independent. Aceste procesari aditionale garanteaza ca foarte putini analisti vor fi capabili sa ajunga la informatiile originale.


Fiecare victima a MiniDuke primeste o identitate unica - identitate care permite atacatorilor sa trimita actualizari personalizate si sa mentina tot timpul o baza de date cu ce informatii au fost extrase, de la cine si cand. Pentru a se proteja, MiniDuke utilizeaza un program de compresie care foloseste intensiv resursele CPU-ului inainte de a executa codul malitios. Astfel, se impiedica analiza implantului si detectarea fisierelor periculoase de catre solutiile antimalware care folosesc un emulator. De asemenea, acest lucru face mai dificila analiza malware-ului.


In timpul analizei, expertii Kaspersky Lab au reusit sa obtina o copie a unui server de comanda si control al CosmicDuke. Se pare ca acesta nu era utilizat doar pentru comunicarea dintre persoanele aflate in spatele CosmicDuke si PC-urile infectate, dar si pentru alte operatiuni ale membrilor precum accesarea unor alte servere de pe Internet cu scopul de a colecta informatii care pot conduce la noi potentiale tinte. Server-ul de comanda si control identificat continea si o serie de instrumente publice de hacking pentru a cauta vulnerabilitatile site-urilor si pentru a le compromite.


In timp ce implanturile anterioare MiniDuke vizau mai ales entitati guvernamentale, implanturile noi CosmicDuke urmaresc si alte tipuri de victime. Pe langa agentiile guvernamentale, se afla si organizatiile diplomatice, sectorul de energie, operatorii telecom, furnizorii de armament precum si persoanele implicate in traficul si vanzarea de substante ilegale si cu distributie controlata.
Expertii Kaspersky Lab au analizat atat serverele CosmicDuke cat si MiniDuke. Din acestea din urma, specialistii Kaspersky Lab au reusit sa extraga o lista de victime si tarile lor de origine si au descoperit ca utilizatorii serverelor vechiului MiniDuke tinteau entitati din Australia, Belgia, Franta, Germania, Ungaria, Olanda, Spania, Ucraina şi SUA. Victimele din cel putin trei dintre aceste tari fac parte din sectorul guvernamental.
Unul dintre serverele CosmicDuke analizate continea o lista mai lunga de victime (139 de IP-uri unice) incepand cu aprilie 2012. Cele mai multe victime erau localizate in Georgia, Rusia, SUA, Marea Britanie, Kazakhstan, India, Belarus, Cipru, Ucraina, Lituania. Atacatorii erau interesati şi de expansiunea operatiunilor si scanau IP-uri din Republica Azerbaidjan, Grecia si Ucraina.


Cele mai neobisnuite victime descoperite au fost indivizi care pareau a fi implicati in traficul si revanzarea substantelor ilegale si cu distributie controlata, precum steroizi si hormoni. Aceste victime au fost descoperite doar in Rusia. Produsele Kaspersky Lab detecteaza CosmicDuke backdoor ca Backdoor.Win32.CosmicDuke.gen si Backdoor.Win32.Generic.



Parerea ta conteaza:

(0/5, 0 voturi)

Lasa un comentariu



trimite