Світовим держструктурам загрожує нова програма-кибершпион MiniDuke

«Це дуже незвичайна кібератака, - пояснює Євген Касперський, генеральний директор «Лабораторії Касперського». - Я добре пам'ятаю, що подібний стиль програмування в шкідливий ПО використовувався в кінці 1990-х-початку 2000-х. Поки не дуже зрозуміло, чому ці створювачі «прокинулися» через 10 років і приєдналися до «просунутим» кіберзлочинцям. Ці елітні письменники шкідливих програм старої закалки ... зараз поєднують свої здібності з новими методами відходу від захисних технологій для того, щоб атакувати державні установи та наукові організації в різних країнах».

«Створений спеціально для цих атак бекдор MiniDuke написаний на Асемблері і надзвичайно малий - всього 20 Кб, - додає Євген Касперський. - Поєднання досвіду «олдскульных» вірусописьменників з новітніми експлойтів і хитрими прийомами соціальної інженерії - вкрай небезпечна суміш».

В ході дослідження експерти «Лабораторії Касперського» прийшли до наступних висновків:

• Автори MiniDuke досі продовжують свою активність, останній раз вони покращили шкідливу програму 20 лютого 2013 року. Для проникнення до системи жертв кіберзлочинці використовували ефективні прийоми соціальної інженерії, за допомогою яких розсилали шкідливі PDF-документи. Ці документи являли собою актуальний і добре підібраний комплект сфабрикованої контенту. Зокрема, вони містили інформацію про семінар з прав людини (ASEM), дані про зовнішню політику України, а також плани країн-учасниць НАТО. Всі ці документи містили експлойти, атакуючі 9, 10 і 11 версії програми Adobe Reader. Для створення цих експлойтів був використаний той же інструментарій, що і при недавніх атаках, про яких повідомляла компанія FireEye. Однак у складі MiniDuke ці експлойти використовувалися для інших цілей і містили власний шкідливий код.
• При зараженні системи на диск жертви потрапляв невеликий завантажувач, розміром всього 20 Кб. Він унікальний для кожної системи і містить бекдор, написаний на Асемблері. Крім того, він уміє вислизати від інструментів аналізу системи, вбудованих в деякі середовища, зокрема в VMWare. У разі виявлення одного з них бекдор припиняв свою діяльність з тим, щоб приховати свою присутність в системі. Це говорить про те, що автори шкідливої програми мають чітке уявлення про те методи роботи антивірусних компаній.
• Якщо атакуемая система відповідає заданим вимогам, шкідлива програма буде (потай від користувача) використовувати Twitter для пошуку спеціальних твітів від заздалегідь створених акаунтів. Ці облікові записи були створені операторами бекдор MiniDuke, а твіти від них підтримують специфічні теги, марковані зашифровані URL адреси для бекдор. Ці URL адреси надають доступ до серверів управління, які, у свою чергу, забезпечують виконання команд і установку бекдор на заражену систему через GIF-файли.
• За результатами аналізу стало відомо, що творці MiniDuke використовують динамічну резервну систему комунікації, яка також може вислизати від антивірусних засобів захисту - якщо Twitter не працює або акаунти неактивні, шкідлива програма може використовувати Google Search для того щоб знайти зашифровані посилання до нових серверів управління. Як тільки система заражена встановлює з'єднання з сервером управління, вона починає отримувати зашифровані бекдори через GIF-файли, які маскуються під картинки на комп'ютері жертви. Після завантаження на машину, ці бекдори можуть виконувати декілька базових дій: копіювати, переміщати або видаляти файли, створювати каталоги, зупиняти процеси і, звичайно, завантажувати і виконувати нові шкідливі програми.
• Бекдор виходить на зв'язок з двома серверами - в Панамі і Туреччини - для того щоб отримати інструкції від кіберзлочинців.

З повною версією звіту «Лабораторії Касперського» і рекомендаціями щодо захисту від MiniDuke можна ознайомитися на сайті www.securelist.com/ru.