Počítače vládních institucí v Česku napadl malware MiniDuke

01 III 2013
Virus News

Moskva a Praha, 27.2.2013 – Vládní instituce mimo jiné i v České republice se minulý týden staly cílem kybernetického útoku. Uvedla to antivirová společnost Kaspersky Lab ve spolupráci s výzkumníky maďarského institutu CrySys Lab. Kybernetický špionážní malware MiniDuke zneužívá nedávno objevenou zranitelnost v programu na prohlížení PDF souborů Adobe Reader (pod označením CVE-2013-6040).

Dle analýzy Kaspersky Lab a CrySys Lab se oběťmi malwaru MiniDuke staly významné cíle mimo jiné z řady vládních institucí v České republice, na Ukrajině, v Belgii, Portugalsku, Rumunsku a v Irsku. Kromě nich útočníci pronikli do výzkumného ústavu, dvou think tanků a zdravotnického zařízení v USA a výzkumné instituce v Maďarsku.

„Jde o dost neobvyklý útok,“ řekl Eugene Kaspersky, zakladatel a šéf Kaspersky Lab a dodal: „Pamatuji se na podobný styl škodlivých programů z přelomu devadesátých a nultých let. Zřejmě se tito autoři malwaru najednou probudili z desetileté hibernace a připojili se k aktivní sofistikované skupině kybernetických zločinců. Tihle elitní ‚old school‘ programátoři v minulosti vytvářeli velice efektivní, složité viry a teď své schopnosti propojují s nově rozvinutými sandbox-evading exploits, což využívají k útokům na vládní úřady nebo výzkumné instituce v řadě zemí.“

Hlavní zjištění analytiků Kaspersky Lab:

  • Vysoce specializovaný backdoor malwaru MiniDuke byl napsán v Assembleru a má pouze 20kb, je tedy velice malý.
  • Malware je stále aktivní, poslední záznamy o jeho činnosti pocházejí z 20. února 2013. Ke zneužití využívají útočníci velice účinné techniky sociálního inženýrství. Obětem zasílají škodlivé PDF dokumenty se zdánlivě relevantním obsahem – zfalšovanými informacemi o semináři o lidských právech (ASEM) a plánech Ukrajiny v zahraniční politice a o připojení k NATO. Tyto škodlivé soubory jsou prošpikovány kódy zaměřenými na verze 9, 10 a 11 programu Adobe Reader, obcházející jeho sandbox.
  • Jakmile je systém zkompromitován, na disk oběti je nahrán malý downloader o velikosti 20kb. Pro každý systém je speciálně upraven a obsahuje pro něj specifický backdoor napsaný v Assembleru. Jakmile je spuštěn při bootování systému, využije downloader sadu matematických kalkulací k určení unikátního otisku počítače a později tato data využívá k šifrování vlastní komunikace. Navíc dokáže včas zachytit pokus o odhalení a okamžitě se v takovém případě zastaví. Jeho autoři zřejmě vědí přesně, jak experti IT a antivirových řešení pracují při odhalování malwaru.
  • Pokud napadený systém splňuje požadované parametry, malware využije Twitter (bez vědomí uživatele) a pomocí speciálních tweetů z předem vytvořených účtů se umí spojit s Command and Control (C2) operátory malwaru MiniDuke. Ten je přitom velice flexibilní a nenápadný. Pokud nefunguje Twitter umí využít Google Search. Ke komunikaci využívají útočníci serverů v Panamě a v Turecku.
  • Malware po nahrání do systému provádí řadu základních činností jako například kopírování, přesouvání, mazání souborů, vytváření adresářů, rušení procesů a také samozřejmě nahrávání a spouštění nového malwaru.

Celou zprávu včetně doporučení k ochraně před útokem MiniDuke si přečtěte na bezpečnostních stránkách Kaspersky Lab Securelist.

Zprávu CrySys Lab naleznete zde.

Systémy Kaspersky Lab odhalují a neutralizují malware MiniDuke pod označením HEUR:Backdoor.Win32.MiniDuke.gen a Backdoor.Win32.Miniduke. Zranitelnost PDF dokumentů nese označení Exploit.JS.Pdfka.giy.

© 1997 – 2014 Kaspersky Lab

All Rights Reserved. Industry-leading Antivirus Software