Mais sobre a nova ameaça MiniDuke

Ontem fomos os primeiros a publicar no iGuRu.gr sobre a nova amea√ßa que “escuta” o nome. Ap√≥s este post, citamos um artigo detalhado de tech.in

A elite dos desenvolvedores dos anos 90 colaborou com os hackers qualificados de hoje e juntos eles conseguiram desenvolver o MiniDuke. O “pequeno duque” atacou alvos de alto n√≠vel e coletou informa√ß√Ķes geopol√≠ticas de ag√™ncias governamentais na Europa, dizem especialistas que localizaram, analisaram e neutralizaram o v√≠rus que entrou no Adobe Reader na semana passada.

security3

Organismos p√ļblicos na Ucr√Ęnia, B√©lgica, Portugal, Rom√™nia, Rep√ļblica Tcheca e Irlanda, um instituto de pesquisa, dois think tanks e um profissional de sa√ļde nos Estados Unidos, bem como um instituto de pesquisa distinto na Hungria foram os v√≠timas mais proeminentes do MiniDuke, de acordo com especialistas da Kaspersky e CrySys Lab que investigaram os ataques.

Você pode ensinar novos truques à um velho cachorro

“Este √© um ataque cibern√©tico muito incomum”, disse Eugene Kaspersky, fundador e CEO da Kaspersky Lab. Essa maneira espec√≠fica de desenvolver c√≥digo malicioso apareceu no final dos anos 90 e no in√≠cio dos anos 2000. Gostaria de saber se os “desenvolvedores” desse tipo, que est√£o “hibernando” h√° mais de uma d√©cada, “despertaram”. de repente e uniu for√ßas com atacantes que usam recursos avan√ßados e atualmente est√£o ativos no ciberespa√ßo. Esses desenvolvedores “antiquados” pertencem √† elite e foram extremamente eficazes no desenvolvimento de v√≠rus altamente complexos no passado. Hoje, eles est√£o combinando essas habilidades com novas explora√ß√Ķes, o que pode evitar solu√ß√Ķes sandbox para atacar ag√™ncias governamentais ou institui√ß√Ķes de pesquisa em v√°rios pa√≠ses “, afirmou.

“O backdoor altamente personalizado do MiniDuge foi desenvolvido no Assembler e √© muito pequeno – apenas 20kb. A combina√ß√£o de experientes desenvolvedores “antiquados” com o uso de explora√ß√Ķes recentemente descobertas e t√©cnicas inteligentes de engenharia social para atacar alvos sofisticados √© extremamente perigosa “, acrescentou.

As principais conclus√Ķes da pesquisa de Kaspersky Lab

  • Os atacantes do MiniDuke ainda est√£o ativos, desenvolvendo malware at√© 20 de fevereiro de 2013. Para atacar seus alvos, os atacantes usavam ferramentas eficazes de engenharia social, incluindo o envio de arquivos PDF maliciosos. Os arquivos foram particularmente relevantes para as organiza√ß√Ķes, com conte√ļdo muito bem elaborado sobre quest√Ķes como informa√ß√Ķes do semin√°rio sobre direitos humanos da Reuni√£o √Āsia-Europa (ASEM), pol√≠tica externa da Ucr√Ęnia e planos de ades√£o √† OTAN. Arquivos PDF maliciosos inclu√≠am explora√ß√Ķes para as vers√Ķes 9, 10 e 11 do Adobe Reader, ignorando sua sandbox. Um kit de ferramentas foi usado para desenvolver as explora√ß√Ķes, que parecem ter sido usadas no recente ataque do FireEye. No entanto, as explora√ß√Ķes usadas pelo MiniDuke tinham finalidades diferentes e seus pr√≥prios malwares especialmente adaptados.
  • Depois que um sistema √© infectado, um downloader muito pequeno (apenas 20kb de tamanho) entra no disco da v√≠tima. O downloader √© exclusivo para cada sistema e inclui um backdoor modificado desenvolvido no Assembler. Ao carregar no in√≠cio do sistema, o downloader usa um conjunto de c√°lculos matem√°ticos para determinar a √°rea de cobertura exclusiva de cada computador. Ele ent√£o usa esses dados para criptografar as comunica√ß√Ķes. Al√©m disso, o downloader √© programado para evitar a an√°lise realizada por ferramentas incorporadas em ambientes espec√≠ficos (por exemplo, VMware). Se detectar alguma an√°lise, permanecer√° ocioso nesse ambiente, em vez de se mover para outro lugar e revelar mais de sua funcionalidade e, essencialmente, de autodecodifica√ß√£o. Isso √© uma indica√ß√£o de que os desenvolvedores est√£o cientes das a√ß√Ķes tomadas pelos profissionais de seguran√ßa da informa√ß√£o para analisar e detectar programas maliciosos.
  • Se o sistema da v√≠tima atender aos pr√©-requisitos, o programa malicioso usar√° o Twitter (sem o conhecimento do usu√°rio) e come√ßar√° a procurar tweets espec√≠ficos de contas prontas. Essas contas foram criadas pelos administradores dos servidores de Comando e Controle do MiniDuke, enquanto os tweets ret√™m tags espec√≠ficas, que indicam endere√ßos para as backdoors. Esses endere√ßos d√£o acesso aos servidores de Comando e Controle, que encaminham poss√≠veis comandos e informa√ß√Ķes criptografadas para backdoors adicionais por meio de arquivos GIF.
  • Com base na an√°lise, parece que os criadores do MiniDuge t√™m um sistema de backup din√Ęmico, que tamb√©m pode passar despercebido. Se o Twitter n√£o funcionar ou as contas estiverem inoperantes, o programa pode usar o mecanismo de busca do Google para encontrar s√©ries criptografadas para o pr√≥ximo servidor de Comando e Controle. Esse modelo √© flex√≠vel e permite que os administradores alterem constantemente a maneira como suas backdoors recuperam comandos extras ou c√≥digos maliciosos, dependendo de suas necessidades.
  • Depois que o sistema afetado detecta o servidor de Comando e Controle, ele recebe backdoors criptografados, ocultos em arquivos GIF e disfar√ßados de imagens que aparecem na m√°quina da v√≠tima. Depois de serem “baixados” para o computador, eles podem “baixar” um backdoor maior, que executa v√°rias tarefas b√°sicas, como copiar, mover e remover arquivos, desenvolver diret√≥rios, finalizar processos e – √© claro – o baixe e execute um novo programa malicioso.
  • O backdoor se conecta a dois servidores – um no Panam√° e outro na Turquia – para receber instru√ß√Ķes dos atacantes.
  • Para a vers√£o completa da pesquisa da Kaspersky Lab, bem como as dicas de prote√ß√£o do MiniDuke, voc√™ pode visitar a Securelist.

    Para o relatório do CrySys Lab, você pode visitar esta página.

    O sistema da Kaspersky Lab detecta e neutraliza o MiniDuke, registrado como HEUR:Porta dos fundos.Ganhar32)MiniDuke.gen e Porta dos fundos.Ganhar32)Miniduke.

    A Kaspersky Lab tamb√©m identifica explora√ß√Ķes usadas em arquivos PDF, listados como Explorar.JS.Pdfka.giy.