Касперский обнаружил очередную шпионскую сеть MiniDuke

28/02/2013 10:18

«Лаборатория Касперского» сомевстно с венгерской CrySys Lab обнаружила бэкдор MiniDuke, написанный в стиле «элитных программистов старой школы» и поразивший правительственные и исследовательские учреждения в нескольких европейских странах и США. «Лаборатория Касперского» объявила о выявлении шпионской программы MiniDuke, созданной неустановленными разработчиками для атак на компьютерные сети и кражи данных из дипломатических и правительственных структур. Эксперты сообщают о глобальном масштабе работы MiniDuke. По данным экспертов, бэкдором поражены госучреждения на Украине, в Бельгии, Ирландии, Португалии, Румынии и Чехии, четыре исследовательских и медицинских организации в США и венгерский исследовательский фонд. Помимо научно-исследовательских организаций в числе жертв MiniDuke есть учреждения, занимающиеся вопросами энергетики, в том числе ядерной, космические агентства и торговые предприятия. Как говорят в «Лаборатории Касперского», программа нацелена на похищение «данных геополитического характера». Несмотря на широту географии MiniDuke, число его жертв сравнительно невелико. В «Касперском» говорят примерно о 50 пораженных им ПК, что является типичным числом жертв при целевых кибератаках на госструктуры. Игорь Суменков, антивирусный эксперт «Лаборатории Касперского», пояснил CNews, что MiniDuke не имеет отношения к уже известным платформам, использованным в целевых атаках. Первооткрыватели MiniDuke эксперты «Касперского» и венгерской CrySys Lab отмечают высокое качество работы создателей вредоносной программы. По словам Евгения Касперского, «подобный стиль программирования в вредоносном ПО использовался в конце 1990-х - начале 2000-х. Исполнители угроз такого типа «спали» более 10 лет и вдруг «проснулись». Эти элитные писатели вредоносных программ старой закалки были крайне успешны в создании сложных вирусов, а сейчас они совмещают свои способности с новыми, способными ускользать от защитных технологий эксплойтами для того, чтобы атаковать государственные учреждения и научные организации в разных странах». MiniDuke написан на ассемблере, и потому его основной модуль занимает всего около 20 кБ. Для его распространения применялся недавно открытый эксплойт в Adobe Reader CVE-2013-6040. Для заражения целевых систем авторы MiniDuke применили технику социальной инженерии, разослав PDF-документы с эксплойтами, атакующими Adobe Reader версий 9, 10 и 11. Документы содержали сфабрикованный контент, касающийся данных о внешней политике Украины, планов стран-участниц НАТО и информацию о семинарах по правам человека. По данным «Касперского», сейчас MiniDuke активен: его последнее обновление произошло 20 февраля 2013 г. Программа старается скрывать свое присутствие на пораженном ПК. Так, обнаружив присутствие инструментов анализа системы, существующих, в частности, в VMWare, бэкдор останавливает свою работу. Интересно, что для контакта с командными серверами вредонос активно использует Twitter: через специальные твиты, содержащие зашифрованные URL-адреса, и оставленные операторами вредоносной сети, MiniDuke получает доступ как к командным серверам, так и инструкции для дальнейшей работы. Зараженный компьютер получает бэкдоры от сервера в виде GIF-файлов. После установки в систему-жертву бэкдоры способны копировать, перемещать или удалять файлы, создавать каталоги и останавливать процессы. В случае простоя серверов Twitter MiniDuke применяет запасной канал коммуникации, используя для поиска закодированных ссылок в Сети поиск Google. Хотя антивирусные эксперты затрудняются указывать национальную принадлежность заказчиков и разработчиков MiniDuke, известно, что два командных сервера бэкдора находятся в Панаме и Турции.
Источник