Cibercriminosos combinam ameaças sofisticadas do passado com exploits avançados
presentes no Adobe Reader para obter inteligência geopolítica das vítimas
Hoje a
equipe de especialistas da Kaspersky Lab publica um novo relatório de
investigação de uma série de incidentes de segurança que usaram um exploit no
PDF do Adobe Reader (CVE-2013-6040) e um novo e altamente personalizado
programa malicioso conhecido como MiniDuke. A “backdoor” do MiniDuke foi usada
para atacar diversas entidades governamentais e instituições no mundo inteiro
durante a semana passada. Os especialistas da Kaspersky Lab, em parceria com a
CrySys Lab, analisaram os ataques detalhadamente e publicam agora as suas
conclusões.
De acordo com a análise da Kaspersky Lab, um número de alvos de perfil
relevante já foram comprometidos pelos ataques do MiniDuke, inclusive entidades
governamentais em Portugal, Ucrânia, Bélgica, Roménia, República Checa, Irlanda
e também no Brasil. Além disso, um instituto de investigação, dois “think
tanks” e um prestador de serviços de saúde nos Estados Unidos também foram
atacados, assim como uma fundação de pesquisa proeminente na Hungria.
“Este é um ciberataque muito excepcional,” disse Eugene Kaspersky, Fundador e
CEO da Kaspersky Lab. “Lembro deste estilo de programação maliciosa do final
dos anos 1990 e início dos anos 2000. E me questiono se este tipo de
programadores de malware, que estiveram ‘hibernados’ durante mais de uma
década, terão subitamente despertado e se juntado ao grupo de cibercriminosos
atualmente ativo no cibermundo.
Estes programadores de malware de elite foram extremamente eficazes no passado
na criação de vírus altamente complexos, e combinam agora essas habilidades com
novos e avançados exploits capazes de contornar sistemas de sandbox, de forma a
atacar entidades governamentais ou instituições de investigação em vários
países. ”
“A backdoor do MiniDuke, altamente personalizada, foi escrita em Assembler e é
muito pequena em tamanho, pesando apenas 20 KB” acrescentou Eugene Kaspersky. A
combinação de ‘velhos’ criadores de malware com novas técnicas de exploit
recentemente descobertas e esquemas de engenharia social inteligente para comprometer
alvos de elevado perfil é extremamente perigosa.”
As principais conclusões da
Kaspersky Lab:
·
Os
atacantes do MiniDuke estão ainda ativos e continuaram a criar malware até há
muito pouco tempo - no último dia 20 de Fevereiro de 2013 ainda o faziam. Para
comprometer as suas vítimas, os atacantes usaram técnicas de engenharia social
extremamente eficazes, que implicaram o envio de documentos PDF maliciosos aos
seus alvos. Os PDFs eram de elevada importância - com conteúdos bem
trabalhados, contendo informação falsa sobre um suposto seminário dedicado aos
direitos humanos (ASEM), bem como dados sobre a política externa da Ucrânia e
planos de adesão à NATO. Estes PDF maliciosos foram manipulados de forma
fraudulenta com exploits que atacam as versões 9, 10 e 11 do Adobe Reader,
contornando os sistemas de ‘sandbox’. Um ‘toolkit’ foi usado para criar estes
exploits e parece ser o mesmo que esteve na origem do ataque recente reportado
pela FireEye. Contudo, os exploits usados no MiniDuke tinham diferentes
objetivos e continham o seu próprio malware personalizado.
·
Uma
vez explorado o sistema, um downloader muito pequeno é deixado no disco da
vítima, tendo apenas 20 KB. Este downloader é singular e contém uma backdoor
escrita em Assembler. Quando carregado no arranque do sistema, o downloader usa
um conjunto de cálculos matemáticos para determinar a impressão digital única
do computador, usando estes dados para encriptar depois as suas comunicações.
Também é programado para evitar a análise por o conjunto codificado de
ferramentas existente em certos ambientes, como VMware. Ao se deparar com algum
desses indicadores, o malware se “esconde” no sistema em vez de avançar para
outra etapa e expor, assim, a sua funcionalidade; isto indica que os escritores
do malware sabem exatamente o que os programas antivírus e os profissionais de
segurança TI estão fazendo para analisar e identificar o malware.
·
Se
o sistema do alvo corresponder aos requisitos predefinidos, o malware usa o
Twitter (sem conhecimento do utilizador) e começa a procurar tweets específicos
de contas pré-configuradas. Estas contas foram criadas pelos operadores de
Command and Control (C2) do MiniDuke, e os tweets mantêm tags específicas com
etiquetas de URLs encriptadas para as backdoors. Estas URLs abrem as portas aos
C2s, que depois emitem comandos e transferências encriptadas de backdoors
adicionais para o sistema, através de ficheiros GIF.
·
Com
base nesta análise, ao que tudo indica os criadores do MiniDuke proporcionam um
sistema de backup dinâmico que também pode funcionar sem ser detectado. Se o
Twitter não estiver funcionando ou as contas não estiverem logadas, o malware
pode usar também a Pesquisa do Google para encontrar as correntes encriptadas
para o C2 seguinte. Este modelo é flexível e permite aos operadores modificar
constantemente a forma como as suas backdoors recuperam ordens ou código malicioso
à medida das necessidades.
·
Assim
que o sistema infectado localiza o C2, recebe backdoors encriptadas que são
escondidas dentro de ficheiros GIF e disfarçadas como fotos que aparecem na
máquina da vítima. Assim que são descarregados na máquina, passam a ser capazes
de fazer o download de uma backdoor que executa várias ações básicas, como
copiar, mover e apagar arquivos, criar diretórios, interromper processos e,
naturalmente, carregar e executar novo malware.
·
A
backdoor do malware liga-se a dois servidores, um no Panamá e um na Turquia,
para receber instruções dos atacantes.
Para ler a análise complete da
Kaspersky Lab e as recomendações sobre como se proteger contra o MiniDuke,
visite por favor a Securelist.
Para ler o relatório da CrySys
Lab, por favor visite o seguinte site.
Os sistemas da Kaspersky Lab
detectam e neutralizam o malware MiniDuke, classificado como
HEUR:Backdoor.Win32.MiniDuke.gen e Backdoor.Win32.Miniduke.
A Kaspersky Lab também detecta
os exploits usados nos documentos PDF, classificados como Exploit.JS.Pdfka.giy.