Kaspersky Lab: To Miniduke είναι ξανά ενεργό

Press News

Οι ερευνητές της Kaspersky Lab ανακάλυψαν ότι τα παλαιού τύπου εμφυτεύματα Miniduke από το 2013 χρησιμοποιούνται ακόμα σε ενεργές ψηφιακές εκστρατείες εναντίον κυβερνητικών οργανισμών και άλλων φορέων.

Επιπλέον, η νέα πλατφόρμα του Miniduke, με την ονομασία BotGenStudio, μπορεί να χρησιμοποιηθεί πλέον όχι μόνο από κυβερνοεγκληματίες που εξαπολύουν επιθέσεις τύπου Advanced Persistent Threat (APT), αλλά και από τις διωκτικές αρχές, καθώς και από παραδοσιακούς εγκληματίες.

Πέρσι, στον απόηχο της ανακοίνωσης που πραγματοποιήθηκε από την Kaspersky Lab και τον συνεργάτη της, CrySyS Lab, αυτοί που εξαπέλυσαν την επίθεση Miniduke APT σταμάτησαν την εκστρατεία τους, ή τουλάχιστον μείωσαν την έντασή της. Ωστόσο, στις αρχές του 2014, οι επιθέσεις Miniduke έγιναν και πάλι πλήρως ενεργές. Αυτή τη φορά, οι ειδικοί της Kaspersky Lab έχουν παρατηρήσει αλλαγές στον τρόπο δράσης των επιτιθέμενων και στα εργαλεία που χρησιμοποιούν.

Μετά την αποκάλυψη του 2013, οι δράστες πίσω από το Miniduke άρχισαν να χρησιμοποιούν ένα άλλο πρασαρμοσμένο backdoor, το οποίο έχει τη δυνατότητα υποκλοπής διάφορων τύπων πληροφοριών. Το κακόβουλο λογισμικό «πειράζει» δημοφιλείς εφαρμογές που έχουν σχεδιαστεί για να τρέχουν στο «βάθος» των συστημάτων, συμπεριλαμβανομένων των πληροφοριών αρχείων, των εικονιδίων, ακόμα και του μεγέθους του αρχείου.

Το βασικό «νέο» backdoor του Miniduke (γνωστό και ως TinyBaron ή CosmicDuke) δημιουργείται με τη χρήση ενός προσαρμόσιμου πλαισίου με την ονομασία BotGenStudio, το οποίο έχει την ευελιξία να ενεργοποιεί ή να απενεργοποιεί λειτουργίες, όταν το bot είναι έτοιμο. Το κακόβουλο λογισμικό είναι σε θέση να υποκλέψει μια ευρεία γκάμα πληροφοριών.

Επίσης, το backdoor έχει πολλές ακόμη δυνατότητες, όπως οι λειτουργίες: keylogger, συλλογής γενικών πληροφοριών του δικτύου, απόσπασης στιγμιαίων εικόνων από οθόνες, καταγραφής πληκτρολογήσεων, απόσπασης πληροφοριών από το Microsoft και το Windows Address Book, υποκλοπής password για τα Skype, απόσπασης πληροφοριών από το Google Chrome, το Google Talk, το Opera, το TheBat!, το Firefox και το Thunderbird, καθώς και υποκλοπής εμπιστευτικών πληροφοριών από προστατευμένα συστήματα storage, αλλά και απόσπασης πιστοποιητικών/ ιδιωτικών κλειδιών κλπ.

Το κακόβουλο λογισμικό πραγματοποιεί διάφορες συνδέσεις δικτύου για να αποσπάσει δεδομένα, μεταξύ των οποίων το «ανέβασμα» δεδομένων μέσω FTP και τρεις διαφορετικές παραλλαγές των μηχανισμών επικοινωνίας HTTP. Η αποθήκευση των αποσπασμένων δεδομένων είναι ένα άλλο ενδιαφέρον χαρακτηριστικό του MiniDuke.

Όταν ένα αρχείο «ανεβαίνει» στον Command & Control server είναι χωρισμένο σε μικρά κομμάτια (περίπου 3Kb), τα οποία συμπιέζονται, κρυπτογραφούνται και τοποθετούνται σε ένα container, πριν ολοκληρωθεί το «ανέβασμα». Εάν το αρχείο είναι αρκετά μεγάλο, μπορεί να τοποθετηθεί σε πολλά διαφορετικά containers που «ανεβαίνουν» ανεξάρτητα. Όλα αυτά τα επίπεδα πρόσθετης επεξεργασίας εγγυώνται ότι ελάχιστοι ερευνητές θα είναι σε θέση να αποκτήσουν πρόσβαση στα πρωτότυπα δεδομένα.

Σε κάθε θύμα του MiniDuke αποδίδεται μια μοναδική ταυτότητα, η οποία επιτρέπει την προώθηση συγκεκριμένων ενημερωμένων εκδόσεων μεμονωμένα σε κάθε θύμα. Για λόγους αυτοπροστασίας, το malware χρησιμοποιεί έναν προσαρμοσμένο ασαφή φορτωτή, που έχει μεγάλο αντίκτυπο στους πόρους της CPU, πριν περάσει στην εκτέλεση του ωφέλιμου φορτίου. Με τον τρόπο αυτό, οι δράστες εμπόδισαν λύσεις anti-malware από την ανάλυση του εμφυτεύματος και τον εντοπισμό κακόβουλης λειτουργίας μέσω προσομοιωτή. Επίσης, το γεγονός αυτό περιπλέκει και την ανάλυση του κακόβουλου λογισμικού.

Κατά την ανάλυση, οι ειδικοί της Kaspersky Lab κατάφεραν να αποκτήσουν ένα αντίγραφο ενός από τους command και control servers (C&C) του CosmicDuke. Φαίνεται ότι χρησιμοποιούταν όχι μόνο για επικοινωνία ανάμεσα σε όσους ήταν πίσω από το CosmicDuke και τους υπολογιστές που είχαν πρσβληθεί, αλλά και για άλλες δραστηριότητες μελών της ομάδας, συμπεριλαμβανομένου του hacking σε άλλους servers στο Διαδίκτυο, με στόχο την συλλογή οποιασδήποτε πληροφορίας ή μέσου που θα μπορούσε να οδηγήσει σε πιθανούς στόχους. Για αυτό το σκοπό, ο C&C server εξοπλίστηκε με μια σειρά από διαθέσιμα εργαλεία hacking για την αναζήτηση ευπαθειών σε ιστοσελίδες που χρησιμοποιούν διαφορετικές μηχανές, ώστε να τις προσβάλλουν.

Ενδιαφέρον έχει το γεγονός ότι, ενώ τα παλαιού τύπου εμφυτεύματα Miniduke χρησιμοποιούνταν κυρίως εναντίον κυβερνητικών στόχων, τα νέου τύπου εμφυτεύματα CosmicDuke έχουν διαφορετική τυπολογία θυμάτων. Εκτός από κυβερνητικούς οργανισμούς, στόχο αποτελούν και διπλωματικοί φορείς, ο ενεργειακός τομέας, οι τηλεπικοινωνίες, οι προμηθευτές στρατιωτικού εξοπλισμού και άτομα που εμπλέκονται στη διακίνηση και πώληση παράνομων και ελεγχόμενων ουσιών.

Οι ειδικοί της Kaspersky Lab ανέλυσαν τόσο servers CosmicDuke όσο και servers Miniduke. Από τους τελευταίους, οι ειδικοί της Kaspersky Lab μπόρεσαν να εξάγουν μια λίστα θυμάτων και τις χώρες στις οποίες αυτά αντιστοιχούσαν και έτσι οι ειδικοί ανακάλυψαν ότι οι χρήστες των παλαιού τύπου Miniduke servers ενδιαφέρονταν για στόχους στην Αυστραλία, το Βέλγιο, τη Γαλλία, τη Γερμανία, την Ουγγαρία, την Ολλανδία, την Ισπανία την Ουκρανία και τις ΗΠΑ. Τα θύματα σε τουλάχιστον τρεις από αυτές τις χώρες ανήκουν στην κατηγορία των «κυβερνητικών στόχων».

Ένας από τους CosmicDuke servers που αναλύθηκαν είχε μια μακρά λίστα θυμάτων (139 μοναδικές διευθύνσεις IP), ξεκινώντας από τον Απρίλιο του 2012. Σε όρους γεωγραφικής κατανομής, οι δέκα χώρες όπου βρέθηκαν τα περισσότερα θύματα είναι η Γεωργία, η Ρωσία, οι ΗΠΑ, η Μεγάλη Βρετανία, το Καζακστάν, η Λευκορωσία, η Κύπρος, η Ουκρανία και η Λιθουάνια. Επίσης, οι επιτιθέμενοι ενδιαφέρθηκαν σε μικρό βαθμό να επεκτείνουν τις δραστηριότητές τους και σκάναραν διευθύνσεις IP και server στο Αζερμπαϊτζάν, την Ελλάδα και την Ουκρανία.

Τα ποιο ασυνήθιστα θύματα που ανακαλύφθηκαν ήταν άτομα τα οποία φαίνονταν να είναι εμπλεκόμενα στη διακίνηση και πώληση ελεγχόμενων και παράνομων ουσιών, όπως στεροειδή και ορμόνες. Αυτά τα θύματα παρατηρήθηκαν μόνο στη Ρωσία.

«Είναι λίγο απρόσμενο – κανονικά, όταν ακούμε για επιθέσεις APT, έχουμε την τάση να πιστεύουμε ότι πρόκειται για εκστρατείες κρατικής ψηφιακής κατασκοπείας. Αλλά γι’ αυτό βλέπουμε δύο εξηγήσεις. Η μία πιθανότητα είναι ότι η πλατφόρμα κακόβουλου λογισμικού BotGenStudio που χρησιμοποιείται στο Miniduke είναι επίσης διαθέσιμη ως ένα από τα λεγόμενα «νόμιμα εργαλεία spyware», όπως π.χ. το RCS της HackingTeam, το οποίο χρησιμοποιείται ευρέως από διωκτικές αρχές. Μια άλλη πιθανότητα είναι ότι η πλατφόρμα είναι απλώς διαθέσιμη στον υπόκοσμο και αγοράζεται από διάφορους ανταγωνιστές στα φαρμακευτικά, για να κατασκοπεύουν ο ένας τον άλλο», σχολίασε ο Vitaly Kamluk, Principal Security Researcher στην Ομάδα Global Research & Analysis της Kaspersky Lab.

Τα προϊόντα της Kaspersky Lab εντοπίζουν το backdoor CosmicDuke, υπό τις κωδικές ονομασίες Backdoor.Win32.CosmicDuke.gen και Backdoor.Win32.Generic. Για περισσότερες πληροφορίες, διαβάστε το blog της Kaspersky Lab στο www.securelist.com.


Είσοδος

Συζητήσεις

See video
Sorry, you need to install flash to see this content.
Αξιολογούμε χρησιμοποιώντας διάφορα benchmarks, τη κορυφαία single-GPU λύση της AMD, Radeon R9 290 σε μία υλοποίηση της Sapphire με την ονομασία Sapphire Vapor-X R9 290X Tri-X OC Version
See video
Sorry, you need to install flash to see this content.
Δοκιμάζουμε μία νέα κάρτα γραφικών που βασίζεται στην GPU της AMD, Radeon R9 290 και προέρχεται από τη Sapphire. Πρόκειται για τη Sapphire Vapor-X R9 290 Tri-X OC Version
See video
Sorry, you need to install flash to see this content.
Δοκιμάζουμε το νέο Sony Xperia Z2, τη ναυαρχίδα της Ιαπωνικής εταιρείας στη κατηγορία των smartphones, για το 1ο εξάμηνο του 2014
See video
Sorry, you need to install flash to see this content.
Πρώτη επαφή με το motherboard της ASRock, Z97 Killer και τον νέο επεξεργαστή Intel Pentium G3258 Anniversary Edition

Bits & Bytes

Συλλογή ανεξάρτητου περιεχόμενου

Users

0 χρήστες and 430 επισκέπτες

Giorgoss
kondeloq
gerassimos5
Giwrgos1212
panagiotis81
hildegardokane78138
sonopitz04
anagnostopk
gthalicia320115
karampelas
rafaelmarmon79538
kristalwmi70288609947
voudas95
johnajohn
geoffreydse944876134

Ψηφοφορία

Ποιο κινητό πιστεύετε ότι είναι το καλύτερο μέχρι στιγμής για το 2014 (πρώτο εξάμηνο);:
back to top