Forskere opdager ny global cyberspionagekampagne

Sikkerhedsforskere har identificeret en igangværende cyberspionagekampagne, der kompromitterede 59 computere tilhørende statslige organisationer, forskningsinstitutter, tænketanke og private virksomheder fra 23 lande i sidste 10 dage.

Angrebskampagnen blev opdaget og analyseret af forskere fra sikkerhedsfirmaet Kaspersky Lab og Cryptography and System Security (CrySyS) i Budapests teknologiske og økonomiske universitet.

Dubbed MiniDuke, angrebskampagnen brugte målrettede e-mail-meddelelser - en teknik kendt som spyd phishing - der transporterede ondsindede PDF-filer rigget med en recen tly patched udnytte til Adobe Reader 9, 10 og 11.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Udnyttelsen blev oprindeligt opdaget i aktive angreb tidligere i måneden af ​​sikkerhedsforskere fra FireEye og er i stand til af omgåelse af sandkassebeskyttelsen i Adobe Reader 10 og 11. Adobe udgav sikkerhedsrettelser til de sårbarheder, som udnyttes den 20. februar.

De nye MiniDuke-angreb bruger den samme udnyttelse, der er identificeret af FireEye, men med nogle avancerede modifikationer Costin Raiu, direktør for Kaspersky Labs globale forsknings- og analysehold, onsdag. Dette kunne tyde på, at angriberne havde adgang til værktøjssætet, der blev brugt til at oprette den oprindelige udnyttelse.

De ondsindede PDF-filer er skurkede kopier af rapporter med indhold, der er relevante for de målrettede organisationer og indeholder en rapport om det uformelle møde mellem Asien og Europa (ASEM) seminar om menneskerettigheder, en rapport om Ukraines NATO-handlingsplan for NATO-medlemskab, en rapport om Ukraines regionale udenrigspolitik og en rapport om den armenske økonomiske sammenslutning for 2013 og meget mere.

Hvis udnyttelsen lykkes, er de rogue PDF-filer installer et stykke malware, der er krypteret med oplysninger indsamlet fra det berørte system. Denne krypteringsteknik blev også brugt i Gauss cyberspionage malware og forhindrer malware fra at blive analyseret på et andet system, sagde Raiu. Hvis der køres på en anden computer, vil malware udføre, men vil ikke starte sin skadelige funktionalitet, sagde han.

Et andet interessant aspekt af denne trussel er, at den kun er 20KB i størrelse og blev skrevet i Assembler, en metode, der sjældent bruges i dag af malware skabere. Den lille størrelse er også usædvanlig i forhold til størrelsen af ​​moderne malware, sagde Raiu. Dette tyder på, at programmørerne var "old school", sagde han.

Det stykke malware, der blev installeret i løbet af denne første fase af angrebet, forbinder til bestemte Twitter-konti, der indeholder krypterede kommandoer, der peger på fire hjemmesider, der fungerer som kommando-og- kontrol servere. Disse websteder, der er vært i USA, Tyskland, Frankrig og Schweiz, er vært for krypterede GIF-filer, der indeholder et andet backdoor-program.

Den anden bagdør er en opdatering til den første og forbinder tilbage til kommando- og kontrolserverne at downloade endnu et bagdørprogram, der er unikt designet til hvert offer. Fra onsdag bestod kommando- og kontrolserverne af fem forskellige bagdørprogrammer til fem unikke ofre i Portugal, Ukraine, Tyskland og Belgien. Raiu sagde. Disse unikke bagdørsprogrammer forbinder forskellige kommando- og kontrol-servere i Panama eller Tyrkiet, og de tillader angriberne at udføre kommandoer på de inficerede systemer.

Menneskerne bag MiniDuke cyberspionage kampagnen har fungeret siden mindst april 2012, da et af de specielle Twitter-konti blev oprettet første gang, sagde Raiu. Det er imidlertid muligt, at deres aktivitet var mere subtil indtil for nylig, da de besluttede at udnytte den nye Adobe Reader-udnyttelse for at kompromittere så mange organisationer som muligt, før sårbarhederne blev patched, sagde han.

Den malware, der bruges i de nye angreb, er unik og har ikke været set før, så gruppen har muligvis brugt forskellige malware tidligere, sagde Raiu. At dømme efter det brede vifte af mål og angrebernes globale karakter, har angriberne sandsynligvis en stor dagsorden, sagde han.

MiniDuke ofre omfatter organisationer fra Belgien, Brasilien, Bulgarien, Tjekkiet, Georgien, Tyskland, Ungarn, Irland Israel, Japan, Letland, Libanon, Litauen, Montenegro, Portugal, Rumænien, Rusland, Slovenien, Spanien, Tyrkiet, Ukraine, Det Forenede Kongerige og USA.

I USA er et forskningsinstitut, to for USA tænketanker og et sundhedsfirma er blevet ramt af dette angreb, sagde Raiu uden at nævne nogen af ​​ofrene.

Angrebet er ikke så sofistikeret som Flame eller Stuxnet, men det er alligevel højt på højt plan, sagde Raiu. Der er ingen indikationer på, hvor angriberne kan fungere fra, eller hvilke interesser de måtte betjene.

Når det er sagt, minder den bagdørskodende stil om en gruppe af malwareforfattere kendt som 29A, menes at være defunct siden 2008. Der er en "666" signatur i koden og 29A er den hexadecimale repræsentation af 666, sagde Raiu.

En "666" -værdi blev også fundet i malware, der blev brugt i de tidligere angreb analyseret af FireEye, men denne trussel var forskellig fra MiniDuke, Raiu sagde. Spørgsmålet om, hvorvidt de to angreb er relaterede, forbliver åbne.

Nyhederne i denne cyberspionagekampagne kommer på hælene med fornyede diskussioner om den kinesiske cyberspionage-trussel, især i USA, som blev fremkaldt af en nylig rapport fra sikkerhedsfirma Mandiant. Rapporten indeholder detaljer om den år lange aktivitet af en gruppe cyberangreb, der kaldes kommentatorbesætningen, som Mandiant mener at være en hemmelig cyber enhed af den kinesiske hær. Den kinesiske regering har afskediget påstandene, men rapporten blev bredt omtalt i medierne.

Raiu sagde, at ingen af ​​de minidukkeofre, der indtil videre blev identificeret, var fra Kina, men nægtede at spekulere på betydningen af ​​denne kendsgerning. I sidste uge identificerede sikkerhedsforskere fra andre virksomheder målrettede angreb, der distribuerede den samme PDF-udnyttelse masquerading som kopier af Mandiant-rapporten.

Disse angreb installerede malware, der klart var af kinesisk oprindelse, sagde Raiu. Men den måde, hvorpå udnyttelsen blev brugt i disse angreb var meget rå og malware var usofistikeret i forhold til MiniDuke, sagde han.