Oggi il team di esperti di Kaspersky Lab ha pubblicato un nuovo report che analizza una serie di incidenti che hanno coinvolto l’utilizzo di recenti exploit scoperti nei documenti PDF di Adobe Reader (CVE-2013-6040) e un nuovo programma nocivo personalizzato conosciuto con il nome di MiniDuke. La backdoor MiniDuke è stata utilizzata per attacchi multipli contro enti governativi e istituzioni in tutto il mondo durante la scorsa settimana. Gli esperti di Kaspersky Lab, in collaborazione con CrySys Lab, hanno analizzato gli attacchi nel dettaglio e pubblicato i risultati
Secondo l’analisi di Kaspersky Lab, un numero di obiettivi di alto profilo era già stato compromesso da attacchi compiuti da MiniDuke, compresi enti governativi in Ucraina, Belgio, Portogallo, Romania, Repubblica Ceca e Irlanda. Inoltre, sono stati attaccati un istituto di ricerca, due think tank e un fornitore di assistenza sanitaria negli Stati Uniti, così come un’importante fondazione di ricerca in Ungheria.
“Questo è un attacco informatico davvero insolito”, ha dichiarato Eugene Kaspersky, Fondatore e CEO di Kaspersky Lab. “Non vedevo questo tipo di programmazione nociva dalla fine degli anni 90/inizi del 2000. Mi stupisco di come gli autori di questo tipo di malware, rimasti nell’ombra per più di un decennio, siano improvvisamente riapparsi e si siano uniti al gruppo di cyber criminali. Questo gruppo di autori “old school” di malware sono stati estremamente efficaci in passato nel creare virus molto complessi e ora stanno combinando queste abilità con i nuovi exploit sandbox-evading avanzati per colpire enti o istituti di ricerca in diversi paesi”.
“La backdoor personalizzata di MiniDuke è stata scritta in Assembler e in un formato molto piccolo, essendo solo di 20Kb”, ha aggiunto Kaspersky. “Questa tipologia di malware compatto e molto sofisticato è spesso scritto in Assembler ed era molto comune ai tempi del VX group 29, ma oggi è molto raro. La combinazione di scrittori di malware esperti appartenenti alla vecchia scuola che utilizzano exploit scoperti di recente e l’utilizzo dell’ingegneria sociale per compromettere gli obiettivi di alto profilo, è estremamente pericolosa”.
Primi risultati della ricerca di Kaspersky Lab:
• Gli autori di MiniDuke in questo momento sono ancora attivi e hanno creato il malware il 20 febbraio 2013. Per colpire le vittime, i criminali hanno utilizzato tecniche efficaci di ingegneria sociale, come l’invio di PDF nocivi agli obiettivi scelti. I contenuti presenti nei file PDF erano di una certa rilevanza come le informazioni riguardanti il seminario sui diritti umani (ASEM), dettagli sulla politica estera in Ucraina e piani di adesione alla NATO. Questi file PDF nocivi contenevano exploit che attaccavano le versioni 9, 10 e 11 di Adobe Reader, oltrepassando il sandbox. Un toolkit è stato utilizzato per creare questi exploit e sembra che sia proprio questo stesso toolkit ad essere stato impiegato nel recente attacco riportato da FireEye. Tuttavia, gli exploit impiegati negli attacchi MiniDuke avevano obiettivi diversi e ognuno il proprio malware personalizzato.
• Una volta che il sistema viene colpito dagli exploit, un piccolo downloader di soli 20Kb viene rilasciato nel disco della vittima. Questo downloader è unico per ogni sistema e contiene una backdoor personalizzata scritta in Assembler. Quando viene caricato all’avvio del sistema, il downloader utilizza una serie di calcoli matematici per determinare l’impronta digitale per accedere al computer e utilizza a sua volta questa per crittografare le proprie comunicazioni. E’ inoltre programmato per evitare le analisi attraverso un set di strumenti hardcoded presenti in alcuni ambienti come VMware. Se viene trovato uno di questi indicatori, esso verrà eseguito vuoto nell’ambiente, invece di spostarsi in un’altra operazione e scoprire ulteriori funzionalità da decifrare; questo consente agli autori del malware di sapere esattamente cosa stanno facendo i professionisti della sicurezza IT per analizzare e identificare il malware.
• Se il sistema di destinazione soddisfa i requisiti prestabiliti, il malware utilizza Twitter (all’insaputa dell’utente) e inizia a cercare i tweet specifici di account già in uso. Questi account sono stati creati dagli operatori dei server di comando e controllo di MiniDuke e i tweet mantengono tag specifici di categorie crittografate per gli URL della backdoor. Questi URL consentono di accedere al C2, che fornisce i comandi e trasferisce in maniera crittografata ulteriori backdoor sui sistemi tramite i file GIF.
• Sulla base dell’analisi, sembra che i creatori di MiniDuke forniscano un sistema dinamico di backup che può passare anche sotto i radar. Se Twitter non funziona o gli account sono colpiti dal malware, si può utilizzare Google Search per trovare le stringhe crittografate del prossimo C2. Questo modello è flessibile e permette agli operatori di cambiare continuamente le loro backdoor e recuperare ulteriori comandi o codici nocivi in base alle esigenze.
• Una volta che il sistema infetto localizza il C2, riceve le backdoor criptate che si confondono tra i file GIF sotto forma di immagini che appaiono sul computer della vittima. Una volta che vengono installati sulla macchina, è possibile scaricare una backdoor più grande che svolge una serie di azioni, come ad esempio copia di file, rimozione di file, creazione di una directory, interruzione del processo ed esecuzione del nuovo malware.
• La backdoor del malware si connette ai due server, uno a Panama e uno in Turchia, per ricevere istruzioni da parte dei cyber criminali.
Per leggere il report di CrySys Lab clicca qui
