Бэкдор MiniDuke воровал правительственные и исследовательские данные учреждений в странах Европы и США
«Лаборатория Касперского» сомевстно с венгерской CrySys Lab обнаружила бэкдор MiniDuke, написанный в стиле «элитных программистов старой школы» и поразивший правительственные и исследовательские учреждения в нескольких европейских странах и США.
«Лаборатория Касперского» объявила о выявлении шпионской программы MiniDuke, созданной неустановленными разработчиками для атак на компьютерные сети и кражи данных из дипломатических и правительственных структур.
Эксперты сообщают о глобальном масштабе работы MiniDuke.
По данным экспертов, бэкдором поражены госучреждения на Украине, в Бельгии, Ирландии, Португалии, Румынии и Чехии, четыре исследовательских и медицинских организации в США и венгерский исследовательский фонд.
Помимо научно-исследовательских организаций в числе жертв MiniDuke есть учреждения, занимающиеся вопросами энергетики, в том числе ядерной, космические агентства и торговые предприятия.
Как говорят в «Лаборатории Касперского», программа нацелена на похищение «данных геополитического характера».
Несмотря на широту географии MiniDuke, число его жертв сравнительно невелико. В «Касперском» говорят примерно о 50 пораженных им ПК, что является типичным числом жертв при целевых кибератаках на госструктуры.
Игорь Суменков, антивирусный эксперт «Лаборатории Касперского», пояснил CNews, что MiniDuke не имеет отношения к уже известным платформам, использованным в целевых атаках.
Первооткрыватели MiniDuke эксперты «Касперского» и венгерской CrySys Lab отмечают высокое качество работы создателей вредоносной программы. По словам Евгения Касперского, «подобный стиль программирования в вредоносном ПО использовался в конце 1990-х – начале 2000-х. Исполнители угроз такого типа «спали» более 10 лет и вдруг «проснулись».
Эти элитные писатели вредоносных программ старой закалки были крайне успешны в создании сложных вирусов, а сейчас они совмещают свои способности с новыми, способными ускользать от защитных технологий эксплойтами для того, чтобы атаковать государственные учреждения и научные организации в разных странах».
MiniDuke написан на ассемблере, и потому его основной модуль занимает всего около 20 кБ. Для его распространения применялся недавно открытый эксплойт в Adobe Reader CVE-2013-6040.
Для заражения целевых систем авторы MiniDuke применили технику социальной инженерии, разослав PDF-документы с эксплойтами, атакующими Adobe Reader версий 9, 10 и 11.
Документы содержали сфабрикованный контент, касающийся данных о внешней политике Украины, планов стран-участниц НАТО и информацию о семинарах по правам человека.
По данным «Касперского», сейчас MiniDuke активен: его последнее обновление произошло 20 февраля 2013 г.
Программа старается скрывать свое присутствие на пораженном ПК. Так, обнаружив присутствие инструментов анализа системы, существующих, в частности, в VMWare, бэкдор останавливает свою работу.
Интересно, что для контакта с командными серверами вредонос активно использует Twitter: через специальные твиты, содержащие зашифрованные URL-адреса, и оставленные операторами вредоносной сети, MiniDuke получает доступ как к командным серверам, так и инструкции для дальнейшей работы.
Зараженный компьютер получает бэкдоры от сервера в виде GIF-файлов. После установки в систему-жертву бэкдоры способны копировать, перемещать или удалять файлы, создавать каталоги и останавливать процессы.
В случае простоя серверов Twitter MiniDuke применяет запасной канал коммуникации, используя для поиска закодированных ссылок в Сети поиск Google.
Хотя антивирусные эксперты затрудняются указывать национальную принадлежность заказчиков и разработчиков MiniDuke, известно, что два командных сервера бэкдора находятся в Панаме и Турции.
Источник: CNews
P.S.
Бэкдор, backdoor (от англ. back door, чёрный ход) — программы, которые устанавливает взломщик на взломанном им компьютере после получения первоначального доступа с целью повторного получения доступа к системе.
Основное назначение Backdoor – скрытное управление компьютером. Как правило, Backdoor позволяет копировать файлы с поражённого компьютера и наоборот, передавать на поражённый компьютер файлы и программы.
Кроме того, обычно Backdoor позволяет получить удалённый доступ к реестру, производить системные операции (перезагрузку ПК, создание новых сетевых ресурсов, модификацию паролей и т.п.).
Backdoor по сути открывает атакующему «чёрный ход» на компьютер пользователя.
См. также:
- Социальная инженерия – основное оружие современных хакеров
- Прогноз тенденций в мире информационной безопасности и киберугроз на 2013 год
- Федеральной службе безопасности РФ поручено создать государственную анти-хакерскую систему
- Хакеры объявили кибервойну государственным структурам России
- Ликвидирована крупнейшая в истории ботсеть, похитившая из банков миллиарды
- Евгений Касперский: социальные сети, хакерские атаки и подрастающее интернет-поколение — крупнейшие кибер-угрозы для обычных пользователей
Оставить комментарий