New Media

Troian care a atacat institutii guvernamentale din Romania, reactivat. Vezi noile victime

07 Jul, 14:45 • Redactia DailyBusiness
Troianul MiniDuke, descoperit de cercetatorii Kaspersky in 2013 si care a atacat si institutiile guvernamentale din Romania, este in continuare activ si este utilizat in campanii noi, care vizeaza atat agentii guvernamentale cat si alte institutii.
Troian care a atacat institutii guvernamentale din Romania, reactivat. Vezi noile victime

Noua platforma
MiniDuke – BotGenStudio –
ar putea fi folosita nu numai de atacatori APT, ci si de organismele
de aplicare a legii,
sau de catre infractori.

Desi actorul din
spatele MiniDuke APT si-a oprit campania sau cel putin i-a diminuat activitatea in urma
anuntului facut de Kaspersky Lab impreuna cu partenerul sau CrySyS Lab anul trecut, la
inceputul anului 2014 acesta a reinceput atacurile in forta.

De
aceasta data, expertii
Kaspersky Lab au observat modificari in modul de atac si in ceea ce
priveste instrumentele
utilizate.

Dupa expunerea din
anul 2013, actorul din spatele MiniDuke a inceput sa utilizeze un alt troian,
capabil sa sustraga mai multe tipuri de informatii. Malware-ul
emuleaza aplicatii populare
care sunt construite pentru a rula in fundal, imitand inclusiv
icon-urile si dimensiunile
fisierelor.

Caracteristici unice

„Noul” MiniDuke
(cunoscut si ca “TinyBaron” sau “CosmicDuke”) este compilat
cu un framework
personalizabil, numit BotGenStudio. Acesta este foarte flexibil si
are o arhitectura modulara.

Malware-ul
este capabil sa sustraga o varietate de informatii, cum ar fi date generale despre
retea, capturi de ecran, date din clipboard, date din Microsoft
Outlook si Windows Address
Book, parole din Skype, Google Chrome, Google Talk, Opera, The Bat!, Firefox,
Thunderbird, informatii din Protected Storage, Certificate/chei
private si parole introduse prin
tastatura.

Stocarea datelor
sustrase este o alta caracteristica interesanta a MiniDuke. Cand un
fisier este incarcat pe
server-ul de comanda si control, acesta este impartit in mai multe
segmente de mici dimensiuni
(~3kb), care sunt comprimate, criptate si introduse intr-un
container, pentru a fi plasate
pe server.

Daca fisierul este suficient de mare, acesta poate fi
plasat in mai multe
containere care sunt incarcate independent. Aceste procesari
aditionale garanteaza ca foarte
putini analisti vor fi capabili sa ajunga la informatiile originale.

Fiecare victima a
MiniDuke primeste o identitate unica – identitate care permite
atacatorilor sa trimita
actualizari personalizate si sa mentina tot timpul o baza de date cu
ce informatii au fost extrase, de
la cine si cand. Pentru a se proteja, MiniDuke utilizeaza un program
de compresie care
foloseste intensiv resursele CPU-ului inainte de a executa codul
malitios.

Astfel, se impiedica
analiza implantului si detectarea fisierelor periculoase de catre
solutiile antimalware care folosesc un emulator. De asemenea, acest
lucru face mai dificila analiza malware-ului.

Serverele de control
si comanda cu dubla utilitate

In timpul analizei,
expertii Kaspersky Lab au reusit sa obtina o copie a unui server de comanda si
control al CosmicDuke. Se pare ca acesta nu era utilizat doar pentru comunicarea dintre
persoanele aflate in spatele CosmicDuke si PC-urile infectate, dar si
pentru alte
operatiuni ale membrilor precum accesarea unor alte servere de pe
Internet cu scopul de a colecta
informatii care pot conduce la noi potentiale tinte.

Server-ul de
comanda si control
identificat continea si o serie de instrumente publice de hacking
pentru a cauta vulnerabilitatile site-urilor si pentru a le compromite.

Victimele

In timp ce
implanturile anterioare MiniDuke vizau mai ales entitati
guvernamentale, implanturile noi
CosmicDuke urmaresc si alte tipuri de victime. Pe langa agentiile guvernamentale, se
afla si organizatiile diplomatice, sectorul de energie, operatorii
telecom, furnizorii de
armament precum si persoanele implicate in traficul si vanzarea de substante ilegale si cu
distributie controlata.

Expertii Kaspersky
Lab au analizat atat serverele CosmicDuke cat si MiniDuke. Din
acestea din urma,
specialistii Kaspersky Lab au reusit sa extraga o lista de victime si
tarile lor de origine si au
descoperit ca utilizatorii serverelor vechiului MiniDuke tinteau
entitati din Australia, Belgia,
Franta, Germania, Ungaria, Olanda, Spania, Ucraina si SUA. Victimele
din cel putin trei
dintre aceste tari fac parte din sectorul guvernamental.

Unul dintre
serverele CosmicDuke analizate continea o lista mai lunga de victime
(139 de IP-
uri unice) incepand
cu aprilie 2012. Cele mai multe victime erau localizate in Georgia,
Rusia, SUA, Marea Britanie,
Kazakhstan, India, Belarus, Cipru, Ucraina, Lituania. Atacatorii erau
interesati si de
expansiunea operatiunilor si scanau IP-uri din Republica Azerbaidjan,
Grecia si Ucraina.

Platforma comerciala

Cele mai neobisnuite
victime descoperite au fost indivizi care pareau a fi implicati in
traficul si revanzarea substantelor ilegale si cu distributie controlata, precum steroizi si
hormoni. Aceste victime au
fost descoperite doar in Rusia.

„Este putin
neasteptat – in mod normal, atunci cand auzim de APT, ne gandim ca
sunt campanii de spoinaj
cibernetic sustinute de diferite state,” afirma Vitaly Kamluk,
Principal Security Researcher
la Global Research & Analysis Team din cadrul Kaspersky Lab.

„Dar putem gasi doua
explicatii pentru aceasta situatie. O posibilitate este faptul ca
platforma malware BotGenStudio
utilizata de MiniDuke este folosita si ca instrument de spyware
legal, precum RCS al
HackingTeam, utilizat de organismele de aplicare a legii. O alta
posibilitate este faptul ca
aceasta platforma este disponibila pe canale neoficiale si poate fi
achizitionata de mai multi
competitori din industria farmaceutica pentru a se spiona reciproc”,
incheie Vitaly Kamluk.

Citeste si SRI: Transgaz si Romgaz, tinte ale atacurilor cibernetice