Mais sobre a nova ameaça MiniDuke

Ontem fomos os primeiros a publicar no iGuRu.gr sobre a nova ameaça que “escuta” o nome. ApĂłs este post, citamos um artigo detalhado de tech.in

A elite dos desenvolvedores dos anos 90 colaborou com os hackers qualificados de hoje e juntos eles conseguiram desenvolver o MiniDuke. O “pequeno duque” atacou alvos de alto nĂ­vel e coletou informaçÔes geopolĂ­ticas de agĂȘncias governamentais na Europa, dizem especialistas que localizaram, analisaram e neutralizaram o vĂ­rus que entrou no Adobe Reader na semana passada.

security3

Organismos pĂșblicos na UcrĂąnia, BĂ©lgica, Portugal, RomĂȘnia, RepĂșblica Tcheca e Irlanda, um instituto de pesquisa, dois think tanks e um profissional de saĂșde nos Estados Unidos, bem como um instituto de pesquisa distinto na Hungria foram os vĂ­timas mais proeminentes do MiniDuke, de acordo com especialistas da Kaspersky e CrySys Lab que investigaram os ataques.

VocĂȘ pode ensinar novos truques Ă  um velho cachorro

“Este Ă© um ataque cibernĂ©tico muito incomum”, disse Eugene Kaspersky, fundador e CEO da Kaspersky Lab. Essa maneira especĂ­fica de desenvolver cĂłdigo malicioso apareceu no final dos anos 90 e no inĂ­cio dos anos 2000. Gostaria de saber se os “desenvolvedores” desse tipo, que estĂŁo “hibernando” hĂĄ mais de uma dĂ©cada, “despertaram”. de repente e uniu forças com atacantes que usam recursos avançados e atualmente estĂŁo ativos no ciberespaço. Esses desenvolvedores “antiquados” pertencem Ă  elite e foram extremamente eficazes no desenvolvimento de vĂ­rus altamente complexos no passado. Hoje, eles estĂŁo combinando essas habilidades com novas exploraçÔes, o que pode evitar soluçÔes sandbox para atacar agĂȘncias governamentais ou instituiçÔes de pesquisa em vĂĄrios paĂ­ses “, afirmou.

“O backdoor altamente personalizado do MiniDuge foi desenvolvido no Assembler e Ă© muito pequeno – apenas 20kb. A combinação de experientes desenvolvedores “antiquados” com o uso de exploraçÔes recentemente descobertas e tĂ©cnicas inteligentes de engenharia social para atacar alvos sofisticados Ă© extremamente perigosa “, acrescentou.

As principais conclusÔes da pesquisa de Kaspersky Lab

  • Os atacantes do MiniDuke ainda estĂŁo ativos, desenvolvendo malware atĂ© 20 de fevereiro de 2013. Para atacar seus alvos, os atacantes usavam ferramentas eficazes de engenharia social, incluindo o envio de arquivos PDF maliciosos. Os arquivos foram particularmente relevantes para as organizaçÔes, com conteĂșdo muito bem elaborado sobre questĂ”es como informaçÔes do seminĂĄrio sobre direitos humanos da ReuniĂŁo Ásia-Europa (ASEM), polĂ­tica externa da UcrĂąnia e planos de adesĂŁo Ă  OTAN. Arquivos PDF maliciosos incluĂ­am exploraçÔes para as versĂ”es 9, 10 e 11 do Adobe Reader, ignorando sua sandbox. Um kit de ferramentas foi usado para desenvolver as exploraçÔes, que parecem ter sido usadas no recente ataque do FireEye. No entanto, as exploraçÔes usadas pelo MiniDuke tinham finalidades diferentes e seus prĂłprios malwares especialmente adaptados.
  • Depois que um sistema Ă© infectado, um downloader muito pequeno (apenas 20kb de tamanho) entra no disco da vĂ­tima. O downloader Ă© exclusivo para cada sistema e inclui um backdoor modificado desenvolvido no Assembler. Ao carregar no inĂ­cio do sistema, o downloader usa um conjunto de cĂĄlculos matemĂĄticos para determinar a ĂĄrea de cobertura exclusiva de cada computador. Ele entĂŁo usa esses dados para criptografar as comunicaçÔes. AlĂ©m disso, o downloader Ă© programado para evitar a anĂĄlise realizada por ferramentas incorporadas em ambientes especĂ­ficos (por exemplo, VMware). Se detectar alguma anĂĄlise, permanecerĂĄ ocioso nesse ambiente, em vez de se mover para outro lugar e revelar mais de sua funcionalidade e, essencialmente, de autodecodificação. Isso Ă© uma indicação de que os desenvolvedores estĂŁo cientes das açÔes tomadas pelos profissionais de segurança da informação para analisar e detectar programas maliciosos.
  • Se o sistema da vĂ­tima atender aos prĂ©-requisitos, o programa malicioso usarĂĄ o Twitter (sem o conhecimento do usuĂĄrio) e começarĂĄ a procurar tweets especĂ­ficos de contas prontas. Essas contas foram criadas pelos administradores dos servidores de Comando e Controle do MiniDuke, enquanto os tweets retĂȘm tags especĂ­ficas, que indicam endereços para as backdoors. Esses endereços dĂŁo acesso aos servidores de Comando e Controle, que encaminham possĂ­veis comandos e informaçÔes criptografadas para backdoors adicionais por meio de arquivos GIF.
  • Com base na anĂĄlise, parece que os criadores do MiniDuge tĂȘm um sistema de backup dinĂąmico, que tambĂ©m pode passar despercebido. Se o Twitter nĂŁo funcionar ou as contas estiverem inoperantes, o programa pode usar o mecanismo de busca do Google para encontrar sĂ©ries criptografadas para o prĂłximo servidor de Comando e Controle. Esse modelo Ă© flexĂ­vel e permite que os administradores alterem constantemente a maneira como suas backdoors recuperam comandos extras ou cĂłdigos maliciosos, dependendo de suas necessidades.
  • Depois que o sistema afetado detecta o servidor de Comando e Controle, ele recebe backdoors criptografados, ocultos em arquivos GIF e disfarçados de imagens que aparecem na mĂĄquina da vĂ­tima. Depois de serem “baixados” para o computador, eles podem “baixar” um backdoor maior, que executa vĂĄrias tarefas bĂĄsicas, como copiar, mover e remover arquivos, desenvolver diretĂłrios, finalizar processos e – Ă© claro – o baixe e execute um novo programa malicioso.
  • O backdoor se conecta a dois servidores – um no PanamĂĄ e outro na Turquia – para receber instruçÔes dos atacantes.
  • Para a versĂŁo completa da pesquisa da Kaspersky Lab, bem como as dicas de proteção do MiniDuke, vocĂȘ pode visitar a Securelist.

    Para o relatĂłrio do CrySys Lab, vocĂȘ pode visitar esta pĂĄgina.

    O sistema da Kaspersky Lab detecta e neutraliza o MiniDuke, registrado como HEUR:Porta dos fundos.Ganhar32)MiniDuke.gen e Porta dos fundos.Ganhar32)Miniduke.

    A Kaspersky Lab também identifica exploraçÔes usadas em arquivos PDF, listados como Explorar.JS.Pdfka.giy.