Avertismentul Kaspersky: virusul care a atacat instituţii guvernamentale din România a revenit în forţă

Troianul MiniDuke, descoperit de Kaspersky în 2013 şi care a atacat şi instituţiile guvernamentale din România, este în continuare activ şi este utilizat în campanii noi, care vizează atât agenţii guvernamentale, cât şi alte instituţii. Noua platformă MiniDuke se numeşte BotGenStudio.

Deşi omul din spatele MiniDuke APT şi-a oprit campania sau cel puţin i-a diminuat activitatea în urma anunţului făcut de Kaspersky Lab împreună cu partenerul său CrySyS Lab anul trecut, la începutul anului 2014 acesta a reînceput atacurile în forţă. De această dată, experţii Kaspersky Lab au observat modificări în modul de atac şi în ceea ce priveşte instrumentele utilizate, se arată în comunicatul remis „Adevărul“.

El a început să utilizeze un alt troian, capabil să sustragă mai multe tipuri de informaţii. Malware-ul emulează aplicaţii populare care sunt construite pentru a rula în fundal, imitând inclusiv icon-urile şi dimensiunile fişierelor.

Caracteristici unice

„Noul“ MiniDuke (cunoscut şi drept „TinyBaron“ sau „CosmicDuke“) este compilat cu un framework personalizabil, numit BotGenStudio. Acesta este foarte flexibil şi are o arhitectură modulară. Malware-ul este capabil să sustragă o varietate de informaţii, cum ar fi date generale despre reţea, capturi de ecran, date din clipboard, date din Microsoft Outlook şi Windows Address Book, parole din Skype, Google Chrome, Google Talk, Opera, The Bat!, Firefox, Thunderbird, informaţii din Protected Storage, Certificate/chei private şi parole introduse prin tastatură.

Stocarea datelor sustrase este o altă caracteristică  interesantă a MiniDuke. Când un fişier este încărcat pe server-ul de comandă şi control, acesta este împărţit în mai multe segmente de mici dimensiuni (~3kb), care sunt comprimate, criptate şi introduse într-un container, pentru a fi plasate pe server. Dacă fişierul este suficient de mare, acesta poate fi plasat în mai multe containere care sunt încărcate independent. Aceste procesări adiţionale garantează că foarte puţini analişti vor fi capabili să ajungă la informaţiile originale.

Fiecare victimă a MiniDuke primeşte o identitate unică - identitate care permite atacatorilor să trimită actualizări personalizate şi să menţină tot timpul o bază de date cu ce informaţii au fost extrase, de la cine şi când. Pentru a se proteja, MiniDuke utilizează un program de compresie care foloseşte intensiv resursele CPU-ului înainte de a executa codul maliţios. Astfel, se împiedică analiza implantului şi detectarea fişierelor periculoase de către soluţiile antimalware care folosesc un emulator. De asemenea, acest lucru face mai dificilă analiza malware-ului.

Victimele

În timp ce implanturile anterioare MiniDuke vizau mai ales entităţi guvernamentale, implanturile noi CosmicDuke urmăresc şi alte tipuri de victime. Pe lângă agenţiile guvernamentale, se află şi organizaţiile diplomatice, sectorul de energie, operatorii telecom, furnizorii de armament precum şi persoanele implicate în traficul şi vânzarea de substanţe ilegale şi cu distribuţie controlată.

Experţii Kaspersky Lab au analizat atât serverele CosmicDuke cât şi MiniDuke. Din acestea din urmă, specialiştii Kaspersky Lab au reuşit să extragă o listă de victime şi ţările lor de origine şi au descoperit că utilizatorii serverelor vechiului MiniDuke ţinteau entităţi din Australia, Belgia, Franţa, Germania, Ungaria, Olanda, Spania, Ucraina şi SUA. Victimele din cel puţin trei dintre aceste ţări fac parte din sectorul guvernamental.

Unul dintre serverele CosmicDuke analizate conţinea o listă mai lungă de victime (139 de IP-uri unice) începând cu aprilie 2012. Cele mai multe victime erau localizate în Georgia, Rusia, SUA, Marea Britanie, Kazakhstan, India, Belarus, Cipru, Ucraina, Lituania. Atacatorii erau interesaţi şi de expansiunea operaţiunilor şi scanau IP-uri din Republica Azerbaidjan, Grecia şi Ucraina.

Platforma comercială

Cele mai neobişnuite victime descoperite au fost indivizi care păreau a fi implicaţi în traficul şi revânzarea substanţelor ilegale şi cu distribuţie controlată, precum steroizi şi hormoni. Aceste victime au fost descoperite doar în Rusia.

„Este puţin neaşteptat – în mod normal, atunci când auzim de APT, ne gândim că sunt campanii de spionaj cibernetic susţinute de diferite state“, a declarat Vitali Kamluk, Principal Security Researcher la Global Research & Analysis Team din cadrul Kaspersky Lab. „Dar putem găsi două explicaţii pentru această situaţie. O posibilitate este faptul că platforma malware BotGenStudio utilizată de MiniDuke este folosită şi ca instrument de spyware legal, precum RCS al HackingTeam, utilizat de organismele de aplicare a legii. O altă posibilitate este faptul că această platformă este disponibilă pe canale neoficiale şi poate fi achiziţionată de mai mulţi competitori din industria farmaceutică pentru a se spiona reciproc“, a mai spus Kamluk.

[<a href="//storify.com/razvanbaltaretu/afl-mai-multe-despre-kaspersky" target="_blank">View the story "Descoperă mai multe avertismente de la Kaspersky" on Storify</a>]