Kaspersky Lab Identifica ‘MiniDuke’, novo programa malicioso criado para espionar diversas entidades governamentais e instituições em todo o Mundo, incluindo no Brasil
Cibercriminosos combinam ameaças sofisticadas do passado com exploits avançados presentes no Adobe Reader para obter inteligência geopolítica das vítimas
Hoje a equipe de especialistas da Kaspersky Lab publica um novo relatório de investigação de uma série de incidentes de segurança que usaram um exploit no PDF do Adobe Reader (CVE-2013-6040) e um novo e altamente personalizado programa malicioso conhecido como MiniDuke. A “backdoor” do MiniDuke foi usada para atacar diversas entidades governamentais e instituições no mundo inteiro durante a semana passada. Os especialistas da Kaspersky Lab, em parceria com a CrySys Lab, analisaram os ataques detalhadamente e publicam agora as suas conclusões.
De acordo com a análise da Kaspersky Lab, um número de alvos de perfil relevante já foram comprometidos pelos ataques do MiniDuke, inclusive entidades governamentais em Portugal, Ucrânia, Bélgica, Roménia, República Checa, Irlanda e também no Brasil. Além disso, um instituto de investigação, dois “think tanks” e um prestador de serviços de saúde nos Estados Unidos também foram atacados, assim como uma fundação de pesquisa proeminente na Hungria.
“Este é um ciberataque muito excepcional,” disse Eugene Kaspersky, Fundador e CEO da Kaspersky Lab. “Lembro deste estilo de programação maliciosa do final dos anos 1990 e início dos anos 2000. E me questiono se este tipo de programadores de malware, que estiveram ‘hibernados’ durante mais de uma década, terão subitamente despertado e se juntado ao grupo de cibercriminosos atualmente ativo no cibermundo.
Estes programadores de malware de elite foram extremamente eficazes no passado na criação de vírus altamente complexos, e combinam agora essas habilidades com novos e avançados exploits capazes de contornar sistemas de sandbox, de forma a atacar entidades governamentais ou instituições de investigação em vários países. “
“A backdoor do MiniDuke, altamente personalizada, foi escrita em Assembler e é muito pequena em tamanho, pesando apenas 20 KB” acrescentou Eugene Kaspersky. A combinação de ‘velhos’ criadores de malware com novas técnicas de exploit recentemente descobertas e esquemas de engenharia social inteligente para comprometer alvos de elevado perfil é extremamente perigosa.”
As principais conclusões da Kaspersky Lab:
- Os atacantes do MiniDuke estão ainda ativos e continuaram a criar malware até há muito pouco tempo – no último dia 20 de Fevereiro de 2013 ainda o faziam. Para comprometer as suas vítimas, os atacantes usaram técnicas de engenharia social extremamente eficazes, que implicaram o envio de documentos PDF maliciosos aos seus alvos. Os PDFs eram de elevada importância – com conteúdos bem trabalhados, contendo informação falsa sobre um suposto seminário dedicado aos direitos humanos (ASEM), bem como dados sobre a política externa da Ucrânia e planos de adesão à NATO. Estes PDF maliciosos foram manipulados de forma fraudulenta com exploits que atacam as versões 9, 10 e 11 do Adobe Reader, contornando os sistemas de ‘sandbox’. Um ‘toolkit’ foi usado para criar estes exploits e parece ser o mesmo que esteve na origem do ataque recente reportado pela FireEye. Contudo, os exploits usados no MiniDuke tinham diferentes objetivos e continham o seu próprio malware personalizado.
- Uma vez explorado o sistema, um downloader muito pequeno é deixado no disco da vítima, tendo apenas 20 KB. Este downloader é singular e contém uma backdoor escrita em Assembler. Quando carregado no arranque do sistema, o downloader usa um conjunto de cálculos matemáticos para determinar a impressão digital única do computador, usando estes dados para encriptar depois as suas comunicações. Também é programado para evitar a análise por o conjunto codificado de ferramentas existente em certos ambientes, como VMware. Ao se deparar com algum desses indicadores, o malware se “esconde” no sistema em vez de avançar para outra etapa e expor, assim, a sua funcionalidade; isto indica que os escritores do malware sabem exatamente o que os programas antivírus e os profissionais de segurança TI estão fazendo para analisar e identificar o malware.
- Se o sistema do alvo corresponder aos requisitos predefinidos, o malware usa o Twitter (sem conhecimento do utilizador) e começa a procurar tweets específicos de contas pré-configuradas. Estas contas foram criadas pelos operadores de Command and Control (C2) do MiniDuke, e os tweets mantêm tags específicas com etiquetas de URLs encriptadas para as backdoors. Estas URLs abrem as portas aos C2s, que depois emitem comandos e transferências encriptadas de backdoors adicionais para o sistema, através de ficheiros GIF.
- Com base nesta análise, ao que tudo indica os criadores do MiniDuke proporcionam um sistema de backup dinâmico que também pode funcionar sem ser detectado. Se o Twitter não estiver funcionando ou as contas não estiverem logadas, o malware pode usar também a Pesquisa do Google para encontrar as correntes encriptadas para o C2 seguinte. Este modelo é flexível e permite aos operadores modificar constantemente a forma como as suas backdoors recuperam ordens ou código malicioso à medida das necessidades.
- Assim que o sistema infectado localiza o C2, recebe backdoors encriptadas que são escondidas dentro de ficheiros GIF e disfarçadas como fotos que aparecem na máquina da vítima. Assim que são descarregados na máquina, passam a ser capazes de fazer o download de uma backdoor que executa várias ações básicas, como copiar, mover e apagar arquivos, criar diretórios, interromper processos e, naturalmente, carregar e executar novo malware.
- A backdoor do malware liga-se a dois servidores, um no Panamá e um na Turquia, para receber instruções dos atacantes.
Para ler a análise complete da Kaspersky Lab e as recomendações sobre como se proteger contra o MiniDuke, visite por favor a Securelist<https://www.securelist.com/en/blog/208194129/The_MiniDuke_Mystery_PDF_0_day_Government_Spy_Assembler_Micro_Backdoor>.
Para ler o relatório da CrySys Lab, por favor visite o seguinte site<http://blog.crysys.hu/2013/02/miniduke/>.
Os sistemas da Kaspersky Lab detectam e neutralizam o malware MiniDuke, classificado como HEUR:Backdoor.Win32.MiniDuke.gen e Backdoor.Win32.Miniduke.
A Kaspersky Lab também detecta os exploits usados nos documentos PDF, classificados como Exploit.JS.Pdfka.giy.
[box_dark]Sobre a Kaspersky Lab[/box_dark]
A Kaspersky Lab é o maior fornecedor privado de soluções de proteção de endpoints do mundo. A empresa está classificada entre os quatro principais fornecedores de soluções de segurança para usuários de endpoints do mundo*. Durante os seus mais de 15 anos de história, a Kaspersky Lab continua sendo inovadora em segurança de TI e fornece soluções de segurança digital eficientes para consumidores, pequenas e médias empresas e grandes corporações. Com sua empresa matriz registrada no Reino Unido, atualmente a Kaspersky Lab opera em quase 200 países e territórios ao redor do globo, fornecendo proteção para mais de 300 milhões de usuários em todo o mundo. Saiba mais em http://brazil.kaspersky.com.
*A empresa ficou na quarta posição na classificação da IDC de Worldwide Endpoint Security Revenue by Vendor (Receita em segurança de endpoints no mundo por fornecedor), 2011. Essa classificação foi publicada no relatório da IDC “Worldwide Endpoint Security 2012-2016 Forecast and 2011 Vendor Shares (Previsão de 2012-2016 de segurança de endpoints em todo o mundo e participações de fornecedores em 2011) (IDC #235930, julho de 2012). O relatório classificou os fornecedores de software de acordo com as receitas de vendas de soluções de segurança de endpoints em 2011.