Ontem fomos os primeiros a publicar no iGuRu.gr sobre a nova ameaça que “escuta” o nome. Após este post, citamos um artigo detalhado de tech.in
A elite dos desenvolvedores dos anos 90 colaborou com os hackers qualificados de hoje e juntos eles conseguiram desenvolver o MiniDuke. O “pequeno duque” atacou alvos de alto nível e coletou informações geopolíticas de agências governamentais na Europa, dizem especialistas que localizaram, analisaram e neutralizaram o vírus que entrou no Adobe Reader na semana passada.
Organismos públicos na Ucrânia, Bélgica, Portugal, Romênia, República Tcheca e Irlanda, um instituto de pesquisa, dois think tanks e um profissional de saúde nos Estados Unidos, bem como um instituto de pesquisa distinto na Hungria foram os vítimas mais proeminentes do MiniDuke, de acordo com especialistas da Kaspersky e CrySys Lab que investigaram os ataques.
Você pode ensinar novos truques à um velho cachorro
“Este é um ataque cibernético muito incomum”, disse Eugene Kaspersky, fundador e CEO da Kaspersky Lab. Essa maneira específica de desenvolver código malicioso apareceu no final dos anos 90 e no início dos anos 2000. Gostaria de saber se os “desenvolvedores” desse tipo, que estão “hibernando” há mais de uma década, “despertaram”. de repente e uniu forças com atacantes que usam recursos avançados e atualmente estão ativos no ciberespaço. Esses desenvolvedores “antiquados” pertencem à elite e foram extremamente eficazes no desenvolvimento de vírus altamente complexos no passado. Hoje, eles estão combinando essas habilidades com novas explorações, o que pode evitar soluções sandbox para atacar agências governamentais ou instituições de pesquisa em vários países “, afirmou.
“O backdoor altamente personalizado do MiniDuge foi desenvolvido no Assembler e é muito pequeno – apenas 20kb. A combinação de experientes desenvolvedores “antiquados” com o uso de explorações recentemente descobertas e técnicas inteligentes de engenharia social para atacar alvos sofisticados é extremamente perigosa “, acrescentou.
As principais conclusões da pesquisa de Kaspersky Lab
Os atacantes do MiniDuke ainda estão ativos, desenvolvendo malware até 20 de fevereiro de 2013. Para atacar seus alvos, os atacantes usavam ferramentas eficazes de engenharia social, incluindo o envio de arquivos PDF maliciosos. Os arquivos foram particularmente relevantes para as organizações, com conteúdo muito bem elaborado sobre questões como informações do seminário sobre direitos humanos da Reunião Ásia-Europa (ASEM), política externa da Ucrânia e planos de adesão à OTAN. Arquivos PDF maliciosos incluíam explorações para as versões 9, 10 e 11 do Adobe Reader, ignorando sua sandbox. Um kit de ferramentas foi usado para desenvolver as explorações, que parecem ter sido usadas no recente ataque do FireEye. No entanto, as explorações usadas pelo MiniDuke tinham finalidades diferentes e seus próprios malwares especialmente adaptados.
Depois que um sistema é infectado, um downloader muito pequeno (apenas 20kb de tamanho) entra no disco da vítima. O downloader é exclusivo para cada sistema e inclui um backdoor modificado desenvolvido no Assembler. Ao carregar no início do sistema, o downloader usa um conjunto de cálculos matemáticos para determinar a área de cobertura exclusiva de cada computador. Ele então usa esses dados para criptografar as comunicações. Além disso, o downloader é programado para evitar a análise realizada por ferramentas incorporadas em ambientes específicos (por exemplo, VMware). Se detectar alguma análise, permanecerá ocioso nesse ambiente, em vez de se mover para outro lugar e revelar mais de sua funcionalidade e, essencialmente, de autodecodificação. Isso é uma indicação de que os desenvolvedores estão cientes das ações tomadas pelos profissionais de segurança da informação para analisar e detectar programas maliciosos.
Se o sistema da vítima atender aos pré-requisitos, o programa malicioso usará o Twitter (sem o conhecimento do usuário) e começará a procurar tweets específicos de contas prontas. Essas contas foram criadas pelos administradores dos servidores de Comando e Controle do MiniDuke, enquanto os tweets retêm tags específicas, que indicam endereços para as backdoors. Esses endereços dão acesso aos servidores de Comando e Controle, que encaminham possíveis comandos e informações criptografadas para backdoors adicionais por meio de arquivos GIF.
Com base na análise, parece que os criadores do MiniDuge têm um sistema de backup dinâmico, que também pode passar despercebido. Se o Twitter não funcionar ou as contas estiverem inoperantes, o programa pode usar o mecanismo de busca do Google para encontrar séries criptografadas para o próximo servidor de Comando e Controle. Esse modelo é flexível e permite que os administradores alterem constantemente a maneira como suas backdoors recuperam comandos extras ou códigos maliciosos, dependendo de suas necessidades.
Depois que o sistema afetado detecta o servidor de Comando e Controle, ele recebe backdoors criptografados, ocultos em arquivos GIF e disfarçados de imagens que aparecem na máquina da vítima. Depois de serem “baixados” para o computador, eles podem “baixar” um backdoor maior, que executa várias tarefas básicas, como copiar, mover e remover arquivos, desenvolver diretórios, finalizar processos e – é claro – o baixe e execute um novo programa malicioso.
O backdoor se conecta a dois servidores – um no Panamá e outro na Turquia – para receber instruções dos atacantes.
Para a versão completa da pesquisa da Kaspersky Lab, bem como as dicas de proteção do MiniDuke, você pode visitar a Securelist.
Para o relatório do CrySys Lab, você pode visitar esta página.
O sistema da Kaspersky Lab detecta e neutraliza o MiniDuke, registrado como HEUR:Porta dos fundos.Ganhar32)MiniDuke.gen e Porta dos fundos.Ganhar32)Miniduke.
A Kaspersky Lab também identifica explorações usadas em arquivos PDF, listados como Explorar.JS.Pdfka.giy.
