MiniDuke, bardzo wyrafinowany atak wykorzystujący Adobe Readera, infekuje rządowe komputery

Specjaliści od bezpieczeństwa poinformowali o wykryciu nowego poważnego i bardzo wyrafinowanego zagrożenia, na które narażone są przede wszystkim komputery instytucji rządowych z wielu krajów. Nazywa się ono MiniDuke i służy do wykradania cennych informacji.

Atak, któremu nadano nazwę MiniDuke, został wykryty przez specjalistów z firmy Kaspersky Lab i Laboratorium Kryptografii i Systemu Bezpieczeństwa (CrySyS) z Budapest University of Technology and Economics. W ciągu ostatnich dni (od ok. 20 lutego) za jego pośrednictwem zainfekowanych zostało 59 komputerów należących do instytucji rządowych, instytutów badawczych, ośrodków analitycznych i firm prywatnych z 23 krajów.

Jak działa?

MiniDuke rozprzestrzenia się za pośrednictwem e-maili i odpowiednio spreparowanych plików PDF, które, aby wzbudzić zainteresowanie, zawierają raporty istotne dla atakowanej organizacji. Malware wykorzystuje odkrytą przez firmę FireEye lukę pozwalającą na pominięcie bezpiecznej strefy (czyli tzw. piaskownicę) Adobe Readera w wersji 10 i 11 (20 lutego firma Adobe wydała odpowiednią łatkę).

Jeżeli exploit będzie skuteczny, zainstaluje na komputerze ofiary złośliwe oprogramowanie, które komunikuje się z kontami na Twitterze skąd pobiera zaszyfrowane komendy prowadzące do czterech różnych stron pełniących rolę serwerów Command-and-Control i hostowanych w Stanach Zjednoczonych, Niemczech, Francji i Szwajcarii. Odpowiadają one za przesłanie do malware GIF-a zawierającego ukryty backdoor, który stanowi aktualizację do pierwszego złośliwego kodu i ponownie łączy się z serwerami Command-and-Control w celu pobrania kolejnego backdoora, który, co bardzo interesujące, jest specjalnie zaprojektowany dla konkretnej ofiary. Ten z kolei łączy się z serwerami C&C w Panamie i Turcji skąd napastnik może już bez problemu wykonywać zdalnie polecenia w zainfekowanym środowisku.

Atak na bardzo wysokim poziomie

Mamy tutaj do czynienia z atakiem, który zdaniem specjalistów co prawda nie jest tak wyrafinowany jak np. Stuxnet, ale i tak jest na bardzo wysokim poziomie. Potwierdza to kolejna sztuczka: malware infekujący komputer w przypadku problemów z połączeniem się z kontami na Twitterze przechodzi w tryb awaryjny i korzysta z usługi Google Search w celu wyszukania zaszyfrowanych ciągów do serwera kontroli.

Jakie kraje były (i są) na celowniku?

Na celowniku MiniDuke znalazły się (co zostało potwierdzone) organizacje i instytucje z następujących państw: Belgia, Brazylia, Bułgaria, Czechy, Gruzja, Niemcy, Węgry, Irlandia, Izrael, Japonia, Łotwa, Liban, Litwa, Czarnogóra, Portugalia, Rumunia, Rosja, Słowenia, Hiszpania, Turcja, Ukraina, Wielka Brytania i Stany Zjednoczone.

Kto za tym stoi?

Obecnie niestety tego nie wiadomo. Specjaliści podkreślają jednak, że osoby odpowiedzialne za MiniDuke działały od kwietnia 2012 roku, kiedy to stworzyły pierwsze konto na Twitterze. Sam malware został natomiast napisany metodą rzadko obecnie wykorzystywaną, co mogłoby wskazywać na "starą szkołę" programistów.


Zobacz również