Исследователи открывают новую глобальную кампанию кибер-шпионажа

Исследователи безопасности выявили продолжающуюся кибер-шпионскую кампанию, которая поставила под угрозу 59 компьютеров, принадлежащих правительственным организациям, научно-исследовательским институтам, аналитическим центрам и частным компаниям из 23 стран в за последние 10 дней.

Кампания нападения была обнаружена и проанализирована исследователями из охранной фирмы «Лаборатория Касперского» и Лаборатории криптографии и системной безопасности (CrySyS) Будапештского университета технологии и экономики.

Дублированная MiniDuke, кампания по атаке используемые целевые сообщения электронной почты - метод, известный как фишинг копья, - который содержал вредоносные файлы PDF, сфальсифицированные с помощью recen (936). [

]. [

]. Эксплойт был обнаружен в активных атаках в начале этого месяца исследователями безопасности из FireEye и способен обход защиты песочницы в Adobe Reader 10 и 11. Adobe выпустила исправления для уязвимостей, предназначенных для эксплойта 20 февраля.

В новых атаках MiniDuke используется тот же самый эксплойт, идентифицированный FireEye, но с некоторыми усовершенствованными изменениями Костин Раю, директор глобальной исследовательской и аналитической группы «Лаборатории Касперского», в среду. Это может означать, что злоумышленники имели доступ к набору инструментов, который использовался для создания исходного эксплойта.

Вредоносные файлы PDF представляют собой изгоевую копию отчетов с контентом, относящимся к целевым организациям, и включают отчет о неформальной встрече в Азии и Европе (ASEM) по правам человека, отчет о плане действий Украины в отношении членства в НАТО, отчет о региональной внешней политике Украины и отчет об Армянской экономической ассоциации 2013 года и т. Д.

Если успех будет успешным, файлы изгоев PDF установите вредоносный код, зашифрованный информацией, собранной из затронутой системы. Этот метод шифрования также использовался в вредоносной программе кибер-шпионажа Гаусса и предотвращает анализ вредоносного ПО в другой системе, сказал Райу.

Еще один интересный аспект этой угрозы заключается в том, что она имеет размер всего 20 КБ и была написана в Assembler, метод, который редко используется сегодня создателями вредоносных программ. Его маленький размер также необычен по сравнению с размером современных вредоносных программ, сказал Райу. Это говорит о том, что программисты были «старой школой», сказал он.

Часть вредоносного ПО, установленная на этом первом этапе атаки, подключается к определенным учетным записям Twitter, которые содержат зашифрованные команды, указывающие на четыре веб-сайта, которые действуют как командно- управляющих серверов. Эти веб-сайты, размещенные в США, Германии, Франции и Швейцарии, содержат зашифрованные GIF-файлы, содержащие вторую бэкдор-программу.

Второй бэкдор - это обновление для первого и соединение с серверами команд и управления для загрузки еще одной бэкдор-программы, которая уникально предназначена для каждой жертвы. По состоянию на среду, серверы управления и управления принимали пять различных программ-бэкдоров для пяти уникальных жертв в Португалии, Украине, Германии и Бельгии, сказал Райу. Эти уникальные бэкдор-программы подключаются к различным серверам управления и контроля в Панаме или Турции, и они позволяют злоумышленникам выполнять команды на зараженных системах.

Люди, стоящие за кампанией кибер-шпионажа MiniDuke, работают с по крайней мере в апреле 2012 года, когда одна из специальных учетных записей Twitter была впервые создана, сказал Райу. Тем не менее, возможно, что их деятельность была более тонкой до недавнего времени, когда они решили использовать новый эксплойт Adobe Reader, чтобы скомпрометировать как можно больше организаций до того, как уязвимости будут исправлены, сказал он.

Вредоносная программа, используемая в новых атаках, уникальна и ранее не была замечена, поэтому в прошлом группа, возможно, использовала разные вредоносные программы, сказал Райу. Судя по широкому кругу целей и глобальному характеру нападений, у нападавших, вероятно, есть большая повестка дня, сказал он.

Среди жертв MiniDuke есть организации из Бельгии, Бразилии, Болгарии, Чехии, Грузии, Германии, Венгрии, Ирландии, Израиля, Японии, Латвии, Ливана, Литвы, Черногории, Португалии, Румынии, России, Словении, Испании, Турции, Украины, Соединенного Королевства и Соединенных Штатов.

В Соединенных Штатах исследовательский институт, два проамериканских аналитические центры и медицинская компания были затронуты этой атакой, сказал Райу, не называя никого из жертв.

Атака не такая сложная, как пламя или Stuxnet, но тем не менее на высоком уровне, сказал Райу. Нет никаких указаний относительно того, где могут действовать атакующие или какие интересы они могут обслуживать.

Тем не менее, стиль кодирования бэкдор напоминает группу авторов вредоносных программ, известных как 29А, которые, как считается, не функционируют с 2008 года. «666» -напись в коде и 29А - это шестнадцатеричное представление 666, сказал Райу.

Значение «666» также было обнаружено во вредоносных программах, используемых в предыдущих атаках, проанализированных FireEye, но эта угроза отличается от MiniDuke, Сказал Райу. Вопрос о том, связаны ли эти две атаки, остается открытым.

Новости этой кампании по кибер-шпионажу идут по пятам возобновленных дискуссий о китайской угрозе кибер-шпионажа, особенно в США, которые были вызваны недавним докладом охранная фирма Mandiant. В докладе содержатся подробные сведения о многолетней деятельности группы кибератаккеров, получивших название «Комьюнити», что Мандиант считает секретным киберунитом китайской армии. Китайское правительство отклонило эти утверждения, но доклад был широко освещен в средствах массовой информации.

Раю сказал, что ни одна из жертв MiniDuke, обнаруженная до сих пор, не была из Китая, но отказалась размышлять о значимости этого факта. На прошлой неделе исследователи безопасности из других компаний выявили целенаправленные атаки, которые распространяли тот же самый эксплойт PDF, который маскировался как копии отчета Mandiant.

Эти атаки устанавливали вредоносное ПО, явно имеющее китайское происхождение, сказал Райу. Тем не менее, способ использования эксплойта в этих атаках был очень груб, а вредоносное ПО было бесхитростным по сравнению с MiniDuke, сказал он.