Počítače vládních institucí v Česku napadl malware MiniDuke

Moskva a Praha, 27.2.2013 – Vládní instituce mimo jiné i v České republice se minulý týden staly cílem kybernetického útoku. Uvedla to antivirová společnost Kaspersky Lab ve spolupráci s výzkumníky maďarského institutu CrySys Lab. Kybernetický špionážní malware MiniDuke zneužívá nedávno objevenou zranitelnost v programu na prohlížení PDF souborů Adobe Reader (pod označením CVE-2013-6040). (TZ)

Dle analýzy Kaspersky Lab a CrySys Lab se oběťmi malwaru MiniDuke staly významné cíle mimo jiné z řady vládních institucí v České republice, na Ukrajině, v Belgii, Portugalsku, Rumunsku a v Irsku. Kromě nich útočníci pronikli do výzkumného ústavu, dvou think tanků a zdravotnického zařízení v USA a výzkumné instituce v Maďarsku.

„Jde o dost neobvyklý útok,“ řekl Eugene Kaspersky, zakladatel a šéf Kaspersky Lab a dodal: „Pamatuji se na podobný styl škodlivých programů z přelomu devadesátých a nultých let. Zřejmě se tito autoři malwaru najednou probudili z desetileté hibernace a připojili se k aktivní sofistikované skupině kybernetických zločinců. Tihle elitní ‚old school‘ programátoři v minulosti vytvářeli velice efektivní, složité viry a teď své schopnosti propojují s nově rozvinutými sandbox-evading exploits, což využívají k útokům na vládní úřady nebo výzkumné instituce v řadě zemí.“

Hlavní zjištění analytiků Kaspersky Lab:

• Vysoce specializovaný backdoor malwaru MiniDuke byl napsán v Assembleru a má pouze 20kb, je tedy velice malý.

• Malware je stále aktivní, poslední záznamy o jeho činnosti pocházejí z 20. února 2013. Ke zneužití využívají útočníci velice účinné techniky sociálního inženýrství. Obětem zasílají škodlivé PDF dokumenty se zdánlivě relevantním obsahem – zfalšovanými informacemi o semináři o lidských právech (ASEM) a plánech Ukrajiny v zahraniční politice a o připojení k NATO. Tyto škodlivé soubory jsou prošpikovány kódy zaměřenými na verze 9, 10 a 11 programu Adobe Reader, obcházející jeho sandbox.

• Jakmile je systém zkompromitován, na disk oběti je nahrán malý downloader o velikosti 20kb. Pro každý systém je speciálně upraven a obsahuje pro něj specifický backdoor napsaný v Assembleru. Jakmile je spuštěn při bootování systému, využije downloader sadu matematických kalkulací k určení unikátního otisku počítače a později tato data využívá k šifrování vlastní komunikace. Navíc dokáže včas zachytit pokus o odhalení a okamžitě se v takovém případě zastaví. Jeho autoři zřejmě vědí přesně, jak experti IT a antivirových řešení pracují při odhalování malwaru.

• Pokud napadený systém splňuje požadované parametry, malware využije Twitter (bez vědomí uživatele) a pomocí speciálních tweetů z předem vytvořených účtů se umí spojit s Command and Control (C2) operátory malwaru MiniDuke. Ten je přitom velice flexibilní a nenápadný. Pokud nefunguje Twitter umí využít Google Search. Ke komunikaci využívají útočníci serverů v Panamě a v Turecku.

• Malware po nahrání do systému provádí řadu základních činností jako například kopírování, přesouvání, mazání souborů, vytváření adresářů, rušení procesů a také samozřejmě nahrávání a spouštění nového malwaru.

Celou zprávu včetně doporučení k ochraně před útokem MiniDuke si přečtěte na bezpečnostních stránkách Kaspersky Lab Securelist.

Zprávu CrySys Lab naleznete zde.

Systémy Kaspersky Lab odhalují a neutralizují malware MiniDuke pod označením  HEUR:Backdoor.Win32.MiniDuke.gen a Backdoor.Win32.Miniduke. Zranitelnost PDF dokumentů nese označení Exploit.JS.Pdfka.giy.

O společnosti Kaspersky Lab

Kaspersky Lab je největším soukromě vlastněným poskytovatelem koncových bezpečnostních řešení na světě. Společnost se řadí mezi čtyři největší prodejce bezpečnostních řešení pro koncové uživatele.* Již 15 let patří Kaspersky Lab mezi přední inovátory v oblasti informačních technologií a poskytuje efektivní digitální bezpečnostní řešení zákazníkům, malým a středním firmám i velkým podnikům. Aktuálně společnost působí v bezmála 200 zemích a oblastech a poskytuje ochranu více než 300 milionům uživatelů. Více informací o společnosti Kaspersky Lab najdete na www.kaspersky.cz.

*Společnost zařadil na čtvrté místo žebříček „IDC Worldwide Endpoint Security Revenue by Vendor, 2011“. Žebříček vyšel ve zprávě „IDC Worldwide IT Security Products 2012-2016 Forecast and 2011 Vendor Shares – December 2011“ a řadil poskytovatele software podle zisku z prodeje koncových bezpečnostních řešení v roce 2011.