MiniDuke spia i governi di tutto il mondo

Gli autori di questa minaccia combinano sofisticate abilità di scrittura ''vecchia scuola'' con gli exploit presenti in Adobe Reader.



[ZEUS News - www.zeusnews.it - 05-03-2013]

eugene kaspersky

Il team di Kaspersky Lab ha pubblicato un nuovo report che analizza una serie di incidenti che hanno coinvolto l'utilizzo di recenti exploit scoperti nei documenti PDF di Adobe Reader e un nuovo programma nocivo personalizzato conosciuto con il nome di MiniDuke.

La backdoor MiniDuke è stata utilizzata per attacchi multipli contro enti governativi e istituzioni in tutto il mondo durante la scorsa settimana.

Secondo l'analisi, un numero di obiettivi di alto profilo era già stato compromesso da attacchi compiuti da MiniDuke, compresi enti governativi in Ucraina, Belgio, Portogallo, Romania, Repubblica Ceca e Irlanda.

Inoltre, sono stati attaccati un istituto di ricerca, due think tank e un fornitore di assistenza sanitaria negli Stati Uniti, così come un'importante fondazione di ricerca in Ungheria.

Eugene Kaspersky (nella foto in alto), fondatore e CEO di Kaspersky Lab, ha dichiarato a Zeus News: "Questo è un attacco informatico davvero insolito. Non vedevo questo tipo di programmazione nociva dalla fine degli anni 90/inizi del 2000. Mi stupisco di come gli autori di questo tipo di malware, rimasti nell'ombra per più di un decennio, siano improvvisamente riapparsi e si siano uniti al gruppo di cyber criminali. Questo gruppo di autori "old school" di malware sono stati estremamente efficaci in passato nel creare virus molto complessi e ora stanno combinando queste abilità con i nuovi exploit sandbox-evading avanzati per colpire enti o istituti di ricerca in diversi paesi".

Prosegue Kaspersky: "La backdoor personalizzata di MiniDuke è stata scritta in Assembler e in un formato molto piccolo, essendo solo di 20 Kbyte. Questa tipologia di malware compatto e molto sofisticato è spesso scritto in Assembler ed era molto comune ai tempi del VX group 29, ma oggi è molto raro. La combinazione di scrittori di malware esperti appartenenti alla vecchia scuola che utilizzano exploit scoperti di recente e l'utilizzo dell'ingegneria sociale per compromettere gli obiettivi di alto profilo, è estremamente pericolosa".

Gli autori di MiniDuke in questo momento sono ancora attivi e hanno creato il malware il 20 febbraio 2013. Per colpire le vittime, i criminali hanno utilizzato tecniche efficaci di ingegneria sociale, come l'invio di PDF nocivi agli obiettivi scelti.

I contenuti presenti nei file PDF erano di una certa rilevanza come le informazioni riguardanti il seminario sui diritti umani (ASEM), dettagli sulla politica estera in Ucraina e piani di adesione alla NATO. Questi file PDF nocivi contenevano exploit che attaccavano le versioni 9, 10 e 11 di Adobe Reader, oltrepassando il sandbox.

Un toolkit è stato utilizzato per creare questi exploit e sembra che sia proprio questo stesso toolkit a essere stato impiegato nel recente attacco riportato da FireEye. Tuttavia, gli exploit impiegati negli attacchi MiniDuke avevano obiettivi diversi e ognuno il proprio malware personalizzato.

Sondaggio
Secondo te come stanno cambiando gli attacchi informatici?
Ci sono sempre più attacchi automatizzati verso i server anziché verso gli individui.
Gli attacchi sono più globali, dall'Europa all'America all'Asia all'Australia.
L'impatto maggiore è sui conti aziendali e sui patrimoni medio alti.
Gli attacchi colpiscono istituzioni finanziarie di tutte le dimensioni.
Gli hacker sono sempre più veloci.
I tentativi di transazioni sono più estesi e più elevati.
Gli attacchi sono più difficili da rilevare.
E' aumentata la sopravvivenza dei server.

Mostra i risultati (1550 voti)
Leggi i commenti

Una volta che il sistema viene colpito dagli exploit, un piccolo downloader di soli 20 Kbyte viene rilasciato nel disco della vittima. Questo downloader è unico per ogni sistema e contiene una backdoor personalizzata scritta in Assembler. Quando viene caricato all'avvio del sistema, il downloader utilizza una serie di calcoli matematici per determinare l'impronta digitale per accedere al computer e utilizza a sua volta questa per crittografare le proprie comunicazioni.

E' inoltre programmato per evitare le analisi attraverso un set di strumenti hardcoded presenti in alcuni ambienti come VMware. Se viene trovato uno di questi indicatori, esso verrà eseguito vuoto nell'ambiente, invece di spostarsi in un'altra operazione e scoprire ulteriori funzionalità da decifrare; questo consente agli autori del malware di sapere esattamente cosa stanno facendo i professionisti della sicurezza IT per analizzare e identificare il malware.

Se il sistema di destinazione soddisfa i requisiti prestabiliti, il malware utilizza Twitter (all'insaputa dell'utente) e inizia a cercare i tweet specifici di account già in uso. Questi account sono stati creati dagli operatori dei server di comando e controllo di MiniDuke e i tweet mantengono tag specifici di categorie crittografate per gli URL della backdoor. Questi URL consentono di accedere al C2, che fornisce i comandi e trasferisce in maniera crittografata ulteriori backdoor sui sistemi tramite i file GIF.

Sulla base dell'analisi, sembra che i creatori di MiniDuke forniscano un sistema dinamico di backup che può passare anche sotto i radar. Se Twitter non funziona o gli account sono colpiti dal malware, si può utilizzare Google Search per trovare le stringhe crittografate del prossimo C2. Questo modello è flessibile e permette agli operatori di cambiare continuamente le loro backdoor e recuperare ulteriori comandi o codici nocivi in base alle esigenze.

Una volta che il sistema infetto localizza il C2, riceve le backdoor criptate che si confondono tra i file GIF sotto forma di immagini che appaiono sul computer della vittima. Una volta che vengono installati sulla macchina, è possibile scaricare una backdoor più grande che svolge una serie di azioni, come ad esempio copia di file, rimozione di file, creazione di una directory, interruzione del processo ed esecuzione del nuovo malware.

La backdoor del malware si connette ai due server, uno a Panama e uno in Turchia, per ricevere istruzioni da parte dei cyber criminali.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (0)


La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Quale di queste professioni obsolete secondo te ha ancora un futuro?
Agente di viaggio. C'è ancora qualcuno che prenota le vacanze in agenzia? (Parrebbe di sì)
Cassiera di supermercato. Sostituita dalle casse automatiche e dalla spesa online. (Ma i clienti rimangono affezionati al vecchio sistema)
Centralinista. Sostituito dai centralini digitali. (Eppure resiste in molte aziende)
Data entry. Mai sentito parlare di scanner e OCR? (Invece c'è chi inserisce ancora tutto a mano)
Dattilografo. I dirigenti moderni gestiscono il proprio blog, non dettano più gli appunti a una segretaria; al massimo usano il riconoscimento vocale. (Ma esistono davvero dirigenti... moderni?)
Impiegato di banca allo sportello. Con i conti online è una figura sempre meno utile. (Però in banca tutti lo cercano)
Giornalista. Con Google News, Facebook, Twitter e i blog, c'è ancora bisogno di loro? (Almeno dei migliori, evidentemente sì)
Postino. Con la posta elettronica, la posta tradizionale va diminuendo sempre più. (Ma ci vuole sempre qualcuno che la consegni)

Mostra i risultati (2540 voti)
Aprile 2021
Se l'FBI, zitta zitta, si mette a patchare i server altrui
Colpevoli di ransomware
Tutti gli home banking sono a rischio, se usi Facebook
Windows 10 rileverà la presenza dell'utente davanti al computer
Yahoo Answers chiude i battenti per sempre
Aggiornamento urgente per iPhone e iPad
Marzo 2021
La macchina di Anticitera
Hacker contro Richard Stallman, la macchina del fango
Robot assassini crescono
Tracker nelle app: cosa sta succedendo in Rete?
Recupero IVA: oltre il 50% non viene rivendicata
Quiz: sei in una zona senza copertura cellulare
Bitcoin, un dilemma etico
Hackerate 150mila videocamere di sorveglianza, tra cui quelle di Tesla
Personal killer robot
Tutti gli Arretrati
Accadde oggi - 18 aprile


web metrics