Kaspersky Lab identificeert 'MiniDuke', een nieuw kwaadaardig spionageprogramma gericht op overheids

Door: Kaspersky Lab  27-02-2013
Trefwoorden: Malware, Cybercrime, cyberspionage

  Ontwikkelaars combineren geavanceerde "old school" technieken met nieuwe, onlangs ontdekte exploits in Adobe Reader om geopolitieke gegevens te verzamelen bij prominente doelwitten  

Utrecht, 27 februari 2013 – Experts van Kaspersky Lab publiceren vandaag een nieuw onderzoeksrapport dat een reeks veiligheidsincidenten analyseert met betrekking tot het gebruik van de recent ontdekte PDF-exploit in Adobe Reader (CVE-2013-6040) en MiniDuke, een nieuw kwaadaardig programma. De MiniDuke backdoor werd de afgelopen week gebruikt om wereldwijd meerdere overheidsinstellingen en instituten aan te vallen. Kaspersky Lab's deskundigen analyseerden, in samenwerking met CrySys Lab, de aanvallen in detail en publiceren hun bevindingen.  

Volgens Kaspersky Lab's analyse is de veiligheid van een aantal prominente doelwitten, waaronder overheidsinstellingen in de Oekraïne, België, Portugal, Roemenië, Tsjechië en Ierland, al in het geding gekomen door de MiniDuke-aanvallen. Hetzelfde geldt voor een onderzoeksinstituut, twee denktanken en een zorgverlener in de Verenigde Staten, evenals een prominente onderzoeksinstelling in Hongarije.  

"Dit is een zeer ongebruikelijke cyberaanval", zegt Eugene Kaspersky, oprichter en CEO van Kaspersky Lab. "Ik herinner me deze vorm uit het eind van de jaren '90. Het lijkt er op dat dit type malwareontwerpers na een winterslaap van ruim een decennium plotseling zijn ontwaakt en zich hebben aangesloten bij de huidige groep van actieve dreigingsontwikkelaars. Deze elite, "old school" malware-auteurs waren in het verleden zeer goed in het creëren van zeer complexe virussen, en combineren deze vaardigheden nu met recent ontdekte sandbox-ontwijkende exploits om overheidsinstanties of onderzoeksinstellingen in verschillende landen aan te vallen."  

"MiniDuke's sterk aangepaste backdoor werd geschreven in Assembler en is zeer klein in omvang, slechts 20kb," voegt Kaspersky toe. "De combinatie van ervaren “old school” malwareschrijvers en het gebruik van nieuw ontdekte exploits en slimme social engineering om in het oog lopende doelwitten aan te vallen, is uiterst gevaarlijk."  

De belangrijkste bevindingen uit Kaspersky Lab’s onderzoek:

·          De MiniDuke-aanvallers zijn op dit moment nog steeds actief en hebben recent (20 februari 2013) nog malware gecreëerd. Om de beveiliging van slachtoffers aan het licht te brengen, gebruikten de aanvallers uiterst effectieve social engineering-technieken, waaronder het verzenden van kwaadaardige, relevante PDF-documenten naar hun doelwitten. De PDF’s bevatten onder andere informatie over een mensenrechtenseminar (ASEM) en plannen over het buitenlands beleid van de Oekraïne en het NAVO-lidmaatschap. Deze kwaadaardige PDF-bestanden waren voorzien van exploits om Adobe Reader-versies 9, 10, en 11 aan te vallen en de sandbox te omzeilen. Om deze exploits te creëren werd gebruik gemaakt van een toolkit. Vermoedelijk gaat het om dezelfde toolkit die gebruikt werd in de recent door FireEye gerapporteerde aanval. De in de MiniDuke-aanvallen gebruikte exploits hadden echter andere doelstellingen en waren voorzien van hun eigen, aangepaste malware.  

·          Na blootstelling van het systeem wordt een zeer kleine downloader van slechts 20kb achtergelaten op de pc van het slachtoffer. Deze downloader is uniek per systeem en bevat een aangepaste, in Assembler geschreven backdoor. Na het opnieuw opstarten van de PC, gebruikt de downloader een set wiskundige berekeningen om de unieke vingerafdruk van de computer te bepalen en deze gegevens te gebruiken voor de encryptie van zijn communicatie. Daarnaast is de downloader zodanig geprogrammeerd om analyse via een gecodeerde set van tools in bepaalde omgevingen zoals VMware  te vermijden. Indien een van deze indicatoren wordt ontdekt, blijft het inactief in de omgeving in plaats van naar een volgende fase te gaan en meer van zijn functionaliteit bloot te geven door zichzelf verder te decoderen. Dit geeft aan dat de malware-auteurs exact weten wat antivirus- en IT-beveiligingsprofessionals doen om malware te analyseren en te identificeren.  

·          Als het systeem van het doelwit voldoet aan de vooraf gedefinieerde eisen, gebruikt de malware Twitter (buiten medeweten van de gebruiker) en gaat het op zoek naar specifieke tweets van vooraf aangemaakte accounts. Deze accounts zijn gecreëerd door MiniDuke's Command and Control (C2) operators, en de tweets bevatten specifieke tags met labels naar versleutelde URL's voor de backdoors. Deze URL's verlenen toegang aan de C2's, die vervolgens zorgen voor potentiële opdrachten en versleutelde overdrachten van aanvullende backdoors op het systeem via GIF-bestanden.  

·          Op basis van de analyse lijkt het erop dat  MiniDuke  de makers een  dynamisch back-up systeem biedt dat bovendien onder de radar kan blijven. Als Twitter niet werkt of de accounts niet actief zijn, kan de malware Google Search gebruiken om gecodeerde strings naar de volgende C2 te vinden. Dit model is flexibel en stelt de aanvallers in staat voortdurend aanpassingen door te voeren zodat  waar nodig andere opdrachten of kwaadaardige codes via backdoors kunnen worden opgehaald.  

·          Zodra het geïnfecteerde systeem de C2 lokaliseert, ontvangt het versleutelde, binnen GIF-bestanden verborgen backdoors die vermomd als afbeeldingen op de computer van een slachtoffer verschijnen. Zodra deze zijn gedownload  kunnen ze een grotere backdoor downloaden die diverse basisacties uitvoert, zoals bestanden kopiëren, verplaatsen en verwijderen, een directory aanmaken, processen beëindigen en natuurlijk nieuwe malware downloaden en uitvoeren.  

·          De malware backdoor maakt verbinding met twee servers, in Panama en Turkije, om instructies te ontvangen van de aanvallers.  

Om het volledige onderzoeksrapport van Kaspersky Lab en de aanbevelingen omtrent bescherming tegen MiniDuke-aanvallen te lezen, zie Securelist: https://www.securelist.com/en/blog/208194129/The_MiniDuke_Mystery_PDF_0_day_Government_Spy_Assembler_Micro_Backdoor  

Het CrySys Lab-rapport is te vinden op: http://blog.crysys.hu/2013/02/miniduke/  

Kaspersky Lab's systeem detecteert en neutraliseert de MiniDuke-malware, geclassificeerd als HEUR:Backdoor.Win32.MiniDuke.gen en Backdoor.Win32.Miniduke. Kaspersky Lab detecteert tevens de in de PDF-documenten gebruikte exploits, geclassificeerd als Exploit.JS.Pdfka.giy.  

Over Kaspersky Lab
Kaspersky Lab is 's werelds grootste niet-beursgenoteerde leverancier van endpoint beveiligingsoplossingen. Het bedrijf behoort wereldwijd tot de top vier leveranciers van beveiligingsoplossingen voor eindgebruikers.* In de vijftien jaar van haar bestaan is Kaspersky Lab altijd een innovator geweest op het gebied van IT-beveiliging en biedt het effectieve digitale beveiligingsoplossingen voor consumenten, MKB-bedrijven en de enterprisemarkt. Het bedrijf is thans mondiaal actief in bijna 200 landen en gebieden en biedt wereldwijd bescherming aan ruim 300 miljoen gebruikers.  

* Het bedrijf stond als vierde genoteerd in de IDC rating Worldwide Endpoint Security Revenue by Vendor, 2010. Deze klassering werd gepubliceerd in het IDC-rapport "Worldwide Endpoint Security 2012-2016 Forecast and 2011 Vendor Shares (IDC #235930, juli 2012). Het rapport classificeerde softwareleveranciers op basis van inkomsten uit verkopen van endpoint beveiligingsoplossingen in 2011.  

© 2012 Kaspersky Lab. De informatie in dit document is onderhevig aan verandering zonder voorafgaande kennisgeving. De enige garanties voor producten van Kaspersky Lab en services is vastgelegd in de garantieverklaringen bij de betreffende producten en services. Niets in dit document kan worden opgevat als rechtgevend op extra garantie. Kaspersky Lab is niet aansprakelijk voor technische of redactionele fouten of weglatingen in deze publicatie.

Trefwoorden: Cybercrime, cyberspionage, Eugène Kaspersky, Kaspersky Lab, Malware,

Andere producten en diensten van Kaspersky Lab

30-07-2013

Eropuit met je ‘mobiele vrienden’

De juiste voorbereiding voor een dagje uit met het hele hightechgezin Utrecht, 30 juli 2013 – De kinderen hebben vakantie,


04-06-2013

Kaspersky Lab onthult ‘Operatie NetTraveler’, een wereldwijde cyberspionagecampagne gericht tegen ov

  Kwaadwillende NetTraveler Toolkit besmet 350 belangrijke slachtoffers voor gegevensdiefstal en –spionage   Utrecht, 4 juni 2013 – Vandaag heeft Kaspersky


22-05-2013

Kaspersky PURE 3.0 Total Security levert ultieme beveiliging voor alles wat je bewaart & doet op pc

  Bekroonde technologie beschermt je identiteit, wachtwoorden, financiële en persoonlijke gegevens   Utrecht, 22 mei 2013 – Pc's zijn uitgegroeid tot


14-05-2013

Kritische gegevens steeds vaker opgeslagen op smartphones

  Onderzoek Kaspersky Lab onthult: Bijna een derde van het Nederlandse MKB denkt dat gegevensverlies via smartphones aanzienlijke schade zal


17-04-2013

Kaspersky Lab presenteert ’s werelds eerste antivirusoplossing voor UEFI

Nieuwe oplossing voorkomt de uitvoering van ‘stealth malware’ op computers met UEFI   Utrecht, 17 april 2013 – Kaspersky Lab


17-04-2013

60% Nederlandse IT-managers heeft geen goed beeld van opgeslagen bedrijfsgegevens op privé apparaten

  Volgens onderzoek door Kaspersky Lab hebben MKB-bedrijven bescherming van intellectueel eigendom niet op orde   Utrecht, 17 april 2013 –


11-04-2013

Kaspersky Lab analyseert actieve wereldwijde cyberspionage-campagne gericht op online gaming-bedrijf

  Cybercriminele organisatie ‘Winnti’ compromitteert systemen van gaming-bedrijven, steelt intellectueel eigendom en digitale certificaten voor malafide praktijken   Utrecht, 11 april


15-03-2013

Nederlandse werknemers gemakzuchtig met rapporteren kwijtgeraakte apparatuur

  Onderzoek Kaspersky Lab onthult: Bedrijven worden te laat geïnformeerd over mogelijk lekken van bedrijfsgegevens   Utrecht, 15 maart 2013 –


14-03-2013

Kaspersky Lab presenteert nieuwe zakelijke beveiligingsoplossing tijdens Infosecurity.be

  Gratis snelle security check voor bezoekers     Utrecht, 14 maart 2013 – Op 20 en 21 maart aanstaande demonstreert Kaspersky


13-02-2013

Kaspersky Lab Experts identificeren en rapporteren nieuwste Zero-day beveiligingslek in Adobe Flash

  Utrecht, 13 februari 2013 – Experts van Kaspersky Lab hebben onlangs een belangrijk zero-day beveiligingslek ontdekt in Adobe Flash


05-02-2013

Cyberpesten voor veel jongeren groot probleem volgens onderzoek Europese Unie

Tips en technologie om er iets aan te doen Utrecht, 5 februari 2013 - Werden ruzies vroeger op het schoolplein


31-01-2013

Kaspersky Endpoint Security for Business biedt geavanceerd beveiligingsplatform

Kaspersky Endpoint Security for Business biedt geavanceerd beveiligingsplatform om complexe en consumerized IT-systemen beter te helpen beveiligen Nieuwe editie voorzien


16-01-2013

Economische instabiliteit en cyberbedreigingen: de twee grootste gevaren voor bedrijven

  Utrecht, 16 januari 2013 – Bedrijven zien cyberbedreigingen als het op een na grootste gevaar na economische instabiliteit. Dit


14-01-2013

Kaspersky Lab identificeert Operatie "Red October", een geavanceerde cyberspionage-campagne

  Aanvallers creëerden unieke, zeer flexibele malware om geopolitieke inlichtingen te stelen van de computersystemen, mobiele telefoons en enterprise netwerkapparatuur