Nytt geopolitiskt spionvirus upptäckt

27 feb 2013
Press Releases

Kaspersky Lab har upptäckt MiniDuke, ett nytt skadligt program utvecklat för spionage av statliga organ. Programmet använder både traditionella metoder för skadlig kod och nya avancerade sårbarheter i Adobe Reader för att samla in geopolitisk data från känsliga måltavlor.

Kaspersky Lab publicerar idag en forskningsrapport som analyserar en serie säkerhetsincidenter där nyligen upptäckta sårbarheter i Adobe Readers PDF-program har utnyttjats. Det skräddarsydda skadliga programmet har fått namnet MiniDuke och har använts för att attackera ett flertal statliga organ och institutioner över hela världen under den senaste veckan. Experter från Kaspersky Lab har i samarbete med CrySys Lab analyserat attackerna i detalj.

Analysen visar att ett stort antal uppmärksammade mål redan har utsatts för MiniDuke, inklusive statliga organ i Ukraina, Belgien, Portugal, Rumänien, Tjeckien och Irland. Dessutom har ett forskningsinstitut, två tankesmedjor samt vårdgivare i USA drabbats, likaså en framstående forskningsstiftelse i Ungern.

– Detta är en mycket ovanlig cyberattack, säger Eugene Kaspersky, grundare och vd på Kaspersky Lab. Den påminner om den typ av programmering av skadlig kod som förekom i slutet av 90-talet och början av 2000-talet. Jag undrar om dessa programmerare, som har varit passiva i över ett decennium, plötsligt har vaknat till liv och börjat samarbeta med sofistikerade cyberkriminella grupper. Denna elit från gamla skolan var extremt effektiva när det gällde att skapa komplexa virus. Nu kombinerar de sina färdigheter med nya avancerade sårbarheter som kringgår den så kallade sandbox-tekniken, för att attackera statliga organ och forskningsinstitut i ett flertal länder.

Skaparna av MiniDuke är fortfarande aktiva och utvecklade skadlig kod så sent som 20 februari 2013. Attackerna har skett genom distribution av skadliga PDF-dokument med relevant och välgjort innehåll om ett verkligt seminarium för mänskliga rättigheter (ASEM), Ukrainas utrikespolitik och NATOs medlemskapsplaner. Dokumenten innehöll skadlig kod som utnyttjar sårbarheter i Adobe Reader (version 9, 10 och 11) och kringgår programmets sandbox-teknik. Därefter placeras ett litet program på endast 20kb, unikt för varje system, som innehåller en skräddarsydd bakdörr. Programmet använder en uppsättning matematiska beräkningar för att ta reda på datorns unika fingeravtryck och använder sedan denna data för att kryptera kommunikationen.

Ytterligare läsning:

  • Fullständiga rapporten och rekommendationer för att skydda sig mot MiniDuke går att läsa här.
  • Rapporten från CrySys Labs går att läsa här.

Kaspersky Labs system upptäcker och oskadliggör MiniDuke, som betecknas HEUR:Backdoor.Win32.MiniDuke.gen och Backdoor.Win32.Miniduke. Kaspersky Lab upptäcker även sårbarheten i PDF-filerna som betecknas Exploit.JS.Pdfka.giy.

Copyright © 1997 - 2014 Kaspersky Lab

Med ensamrätt. Branschledande antivirusskydd.