Forskere oppdager ny global cyberspionasjekampanje

Sikkerhetsforskere har identifisert en pågående nettpratkampanje som kompromitterte 59 datamaskiner som tilhører statlige organisasjoner, forskningsinstitutter, tenketanker og private selskaper fra 23 land i siste 10 dager.

Angrepskampanjen ble oppdaget og analysert av forskere fra sikkerhetsfirmaet Kaspersky Lab og Laboratory of Cryptography and System Security (CrySyS) ved Budapests teknologiske og økonomiske universitet.

Dubbed MiniDuke, angrepskampanjen brukte målrettede e-postmeldinger - en teknikk som kalles spyd phishing - som båret ondsinnede PDF-filer som er rigget med en recen Tly patched utnytte for Adobe Reader 9, 10 og 11.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows PC]

Utnyttelsen ble opprinnelig oppdaget i aktive angrep tidligere denne måneden av sikkerhetsforskere fra FireEye og er i stand til av omgåelse av sandkassebeskyttelse i Adobe Reader 10 og 11. Adobe utgav sikkerhetsoppdateringer for sikkerhetsproblemene som ble utvalgt av utnytningen den 20. februar.

De nye MiniDuke-angrepene bruker samme utnytte identifisert av FireEye, men med noen avanserte modifikasjoner sa Costin Raiu, direktør for Kaspersky Labs globale forsknings- og analyseteam, på onsdag. Dette kan tyde på at angriperne hadde tilgang til verktøyet som ble brukt til å opprette den opprinnelige bruken.

De ondsinnede PDF-filene er falske kopier av rapporter med innhold som er relevante for de målrettede organisasjonene, og inkluderer en rapport om det uformelle Asia-Europe-møtet (ASEM) seminar om menneskerettigheter, en rapport om Ukrainas NATO-handlingsplan for NATO-medlemskap, en rapport om Ukrainas regionale utenrikspolitikk og en rapport om den armenske økonomiske sammenslutningen i 2013 og mer.

Hvis utnyttelsen lykkes, er de skurkelige PDF-filene installer et stykke skadelig programvare som er kryptert med informasjon samlet fra det berørte systemet. Denne krypteringsteknikken ble også brukt i malware i Gauss cyber-spionage og forhindrer at malware blir analysert på et annet system, sa Raiu. Hvis kjører på en annen datamaskin, vil malware utføre, men vil ikke starte sin skadelige funksjonalitet, sa han.

Et annet interessant aspekt ved denne trusselen er at den bare har 20KB og ble skrevet i Assembler, en metode som sjelden brukes i dag av malware skapere. Den lille størrelsen er også uvanlig i forhold til størrelsen på moderne malware, sa Raiu. Dette tyder på at programmene var "old school", sa han.

Maskinvareet som ble installert i løpet av denne første fasen av angrepet, knytter seg til bestemte Twitter-kontoer som inneholder krypterte kommandoer som peker på fire nettsteder som fungerer som kommando-og- kontroll servere. Disse nettstedene, som er vert i USA, Tyskland, Frankrike og Sveits, er vert for krypterte GIF-filer som inneholder et andre tilbakerdørsprogram.

Den andre bakdøren er en oppdatering til den første og kobles tilbake til kommando- og kontrollserverne å laste ned enda et bakdørsprogram som er unikt designet for hvert offer. Fra onsdag bestod kommando- og kontrollservere fem forskjellige bakdørprogrammer for fem unike ofre i Portugal, Ukraina, Tyskland og Belgia, sier Raiu. Disse unike bakdørsprogrammene kobler seg til forskjellige kommando- og kontrollservere i Panama eller Tyrkia., og de tillater angriperne å utføre kommandoer på de infiserte systemene.

Personene bak MiniDuke cyberspionasjekampanjen har operert siden minst april 2012, da en av de spesielle Twitter-kontoene ble først opprettet, sa Raiu. Det er imidlertid mulig at aktiviteten deres var mer subtil til forrige gang, da de bestemte seg for å utnytte den nye Adobe Reader-utnytningen, for å kompromittere så mange organisasjoner som mulig før sårbarhetene ble oppdatert, sa han.

Malware brukt i de nye angrepene er unikt og har ikke blitt sett før, slik at gruppen kanskje har brukt forskjellig malware i det siste, sa Raiu. Dommere etter de mange målene og angrepenees globale natur, har angriperne sannsynligvis en stor agenda, sa han.

MiniDuke-ofrene inkluderer organisasjoner fra Belgia, Brasil, Bulgaria, Tsjekkia, Georgia, Tyskland, Ungarn, Irland, Israel, Japan, Latvia, Libanon, Litauen, Montenegro, Portugal, Romania, Russland, Slovenia, Spania, Tyrkia, Ukraina, Storbritannia og USA.

I USA, et forskningsinstitutt, to pro-amerikanske tenktanker og et helsevesen har blitt rammet av dette angrepet, sa Raiu uten å nevne noen av ofrene.

Angrepet er ikke så sofistikert som Flame eller Stuxnet, men er høyt likevel, sa Raiu. Det er ingen indikasjoner på hvor angriperne kan operere fra, eller hvilke interesser de kan betjene.

Når det er sagt, gjenkjenner bakdørens kodestil en gruppe malwareforfattere kjent som 29A, som antas å være defunct siden 2008. Det er en "666" signatur i koden og 29A er den heksadesimale representasjonen av 666, sier Raiu.

En "666" -verdien ble også funnet i malware brukt i de tidligere angrepene som ble analysert av FireEye, men den trusselen var forskjellig fra MiniDuke, Raiu sa. Spørsmålet om de to angrepene er relaterte, forblir åpne.

Nyheter om denne cyberspionasjekampanjen kommer på hælene av fornyede diskusjoner om den kinesiske cyberspionasje-trusselen, spesielt i USA, som ble bedt om av en nylig rapport fra sikkerhetsfirma Mandiant. Rapporten inneholder detaljer om den årlige aktiviteten til en gruppe cyber-angripere, som ble kalt kommentatorskapet, som Mandiant mener er en hemmelig cyberunit av den kinesiske hæren. Den kinesiske regjeringen har avvist påstandene, men rapporten var mye dekket i media.

Raiu sa at ingen av MiniDuke-ofrene som ble identifisert hittil, var fra Kina, men nektet å spekulere på betydningen av dette faktum. I forrige uke identifiserte sikkerhetsforskere fra andre selskaper angrep angrepet som distribuerte samme PDF-utgave masquerading som kopier av Mandiant-rapporten.

De angrep skadelig programvare som var tydelig av kinesisk opprinnelse, sa Raiu. Imidlertid var måten bruken ble brukt på i disse angrepene veldig rå og malware var usofistikerte i forhold til MiniDuke, sa han.