Počítače vládních institucí v Česku napadl kybernetický špionážní malware MiniDuke

Share on email
E-mail
Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
POZOR, zobrazili jste si článek z archivu našeho původního webu. Tento článek může obsahovat zastaralé informace a technické vady (chybějící obrázky, nesprávné formátování textu atd.).

Vládní instituce mimo jiné i v České republice se minulý týden staly cílem kybernetického útoku. Uvedla to antivirová společnost Kaspersky Lab ve spolupráci s výzkumníky maďarského institutu CrySys Lab. Kybernetický špionážní malware MiniDuke zneužívá nedávno objevenou zranitelnost v programu na prohlížení PDF souborů Adobe Reader (pod označením CVE-2013-6040).

Pokud napadený systém splňuje požadované parametry, malware využije Twitter (bez vědomí uživatele)
Pokud napadený systém splňuje požadované parametry, malware využije Twitter (bez vědomí uživatele)

Dle analýzy Kaspersky Lab a CrySys Lab se oběťmi malwaru MiniDuke staly významné cíle mimo jiné z řady vládních institucí v České republice, na Ukrajině, v Belgii, Portugalsku, Rumunsku a v Irsku. Kromě nich útočníci pronikli do výzkumného ústavu, dvou think tanků a zdravotnického zařízení v USA a výzkumné instituce v Maďarsku.

„Jde o dost neobvyklý útok,“ řekl Eugene Kaspersky, zakladatel a šéf Kaspersky Lab a dodal: „Pamatuji se na podobný styl škodlivých programů z přelomu devadesátých a nultých let. Zřejmě se tito autoři malwaru najednou probudili z desetileté hibernace a připojili se k aktivní sofistikované skupině kybernetických zločinců. Tihle elitní ‚old school‘ programátoři v minulosti vytvářeli velice efektivní, složité viry a teď své schopnosti propojují s nově rozvinutými sandbox-evading exploits, což využívají k útokům na vládní úřady nebo výzkumné instituce v řadě zemí.“

Hlavní zjištění analytiků Kaspersky Lab

Vysoce specializovaný backdoor malwaru MiniDuke byl napsán v Assembleru a má pouze 20kb, je tedy velice malý.

Malware je stále aktivní, poslední záznamy o jeho činnosti pocházejí z 20. února 2013. Ke zneužití využívají útočníci velice účinné techniky sociálního inženýrství. Obětem zasílají škodlivé PDF dokumenty se zdánlivě relevantním obsahem – zfalšovanými informacemi o semináři o lidských právech (ASEM) a plánech Ukrajiny v zahraniční politice a o připojení k NATO. Tyto škodlivé soubory jsou prošpikovány kódy zaměřenými na verze 9, 10 a 11 programu Adobe Reader, obcházející jeho sandbox.

Jakmile je systém zkompromitován, na disk oběti je nahrán malý downloader o velikosti 20kb. Pro každý systém je speciálně upraven a obsahuje pro něj specifický backdoor napsaný v Assembleru. Jakmile je spuštěn při bootování systému, využije downloader sadu matematických kalkulací k určení unikátního otisku počítače a později tato data využívá k šifrování vlastní komunikace. Navíc dokáže včas zachytit pokus o odhalení a okamžitě se v takovém případě zastaví. Jeho autoři zřejmě vědí přesně, jak experti IT a antivirových řešení pracují při odhalování malwaru.

Pokud napadený systém splňuje požadované parametry, malware využije Twitter (bez vědomí uživatele) a pomocí speciálních tweetů z předem vytvořených účtů se umí spojit s Command and Control (C2) operátory malwaru MiniDuke. Ten je přitom velice flexibilní a nenápadný. Pokud nefunguje Twitter umí využít Google Search. Ke komunikaci využívají útočníci serverů v Panamě a v Turecku.

Malware po nahrání do systému provádí řadu základních činností jako například kopírování, přesouvání, mazání souborů, vytváření adresářů, rušení procesů a také samozřejmě nahrávání a spouštění nového malwaru.

Share on email
E-mail
Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn

Mohlo by vás zajímat...