Secretele virusului din PDF-uri care a atacat chiar si institutiile romanesti.

"Au fost
hackeri de elita, dar de moda veche"
Vlad Andriescu,

Noii infractori cibernetici imbina abilitatile clasice de scriere a fisierelor malware cu noi exploituri avansate din
Adobe Reader, pentru a colecta informatii geopolitice confidentiale de la tinte importante.

Astazi, 27 februarie, expertii Kaspersky Lab au publicat un nou raport de cercetare ce analizeaza o serie de incidente de
securitate in cadrul carora au fost utilizate exploit-urile PDF din Adobe Reader descoperite recent si un nou program malware,
foarte specializat, numit MiniDuke.

MiniDuke a fost folosit saptamana trecuta pentru a ataca mai multe organizatii guvernamentale si institutii din
intreaga lume. Expertii Kaspersky Lab, in parteneriat cu CrySys Lab, au analizat in detaliu atacurile.

Potrivit analizei, mai multe tinte importante au fost deja compromise de atacurile MiniDuke, inclusiv institutii
guvernamentale, din Ucraina, Belgia, Portugalia, Romania, Republica Ceha si Irlanda.

In plus, un institut de cercetare, doua think tank-uri si un furnizor din domeniul medical din Statele Unite,
precum si un institut de cercetare foarte cunoscut din Ungaria au fost, de asemenea, compromise.

,,Acesta este un atac cibernetic foarte neobisnuit," a comentat Eugene Kaspersky, fondatorul si CEO al
Kaspersky Lab. ,,Imi amintesc acest tip de programare malware de la sfarsitul anilor 1990 si inceputul anilor
2000. Ma intreb daca nu cumva acesti programatori de malware, care au fost inactivi timp de mai mult de un
deceniu, s-au trezit brusc si s-au alaturat unui grup complex de infractori activi in lumea cibernetica. Acesti
programatori de malware de elita, de moda veche au fost foarte eficienti in trecut, creand virusi foarte
complecsi, iar acum isi folosesc aceste abilitati in combinatie cu noile exploit-uri avansate, capabile sa evite
protectia sandbox, pentru a ataca organizatii guvernamentale sau institutii de cercetare din diferite tari", explica
Eugene Kaspersky.

,,Backdoor-ul foarte specializat al MiniDuke a fost scris in Assembler si este de dimensiuni foarte mici, avand
doar 20kb. Alaturarea dintre programatorii de malware de moda veche si experimentati care folosesc exploit-uri
descoperite recent si ingineria sociala inteligenta, din prezent, capabila sa compromita tinte importante este
foarte periculoasa", avertizeaza Eugene Kaspersky.

Principalele descoperiri ale cercetarii Kaspersky Lab:

Atacatorii MiniDuke sunt activi in prezent si au creat fisiere malware chiar si pe 20 februarie 2013. Pentru a
compromite victimele, atacatorii au utilizat tehnici de inginerie sociala foarte avansate, care implica trimiterea
de documente PDF malitioase catre tintele vizate. Documentele trimise erau create sa para foarte credibile
pentru destinatari, avand un continut bine construit, care sa imite prezentarile despre un seminar pe tema
drepturilor omului (ASEM), strategia de politica externa a Ucrainei si planurile NATO pentru tarile membre.
Acestor fisiere PDF malitioase le-au fost atasate exploit-uri care sa atace versiunile Adobe Reader 9, 10 si 11,
evitand protectia sandbox. Pentru a crea aceste exploit-uri, s-a folosit un set de instrumente care pare a fi acelasi
cu cel utilizat in atacul care a fost semnalizat recent de FireEye. Insa, exploit-urile folosite in atacurile
MiniDuke au avut alte scopuri si aveau propriul malware specializat.

Odata ce sistemul era exploatat, un program de descarcare de doar 20kb era instalat pe discul victimei.
Programul de descarcare era unic pentru fiecare sistem si continea un backdoor specializat, scris in Assembler.
Fiind incarcat de indata ce sistemul era pornit, programul de descarcare utiliza un set de calcule matematice
pentru a stabili amprenta unica a computerului si folosea aceste date pentru a cripta intr-un mod unic actiunile
de comunicare ulterioare. De asemenea, programul era construit sa evite analiza de catre un set codificat de
instrumente in anumite medii, cum ar fi VMware. Daca intalnea unul dintre acesti indicatori, programul
ramanea inactiv in mediul respectiv, in loc sa treaca la stadiul urmator si sa isi expuna mai mult modalitatea de
functionare printr-o decriptare suplimentara. Acest lucru indica faptul ca autorii malware-ului stiau cu exactitate
ce fac specialistii in antivirusi si in securitate IT pentru a analiza si a identifica un malware.

Daca sistemul tintei corespundea cerintelor predefinite, malware-ul se folosea de Twitter, fara stirea
utilizatorului, si incepea sa caute postari specifice de pe conturi create in prealabil. Aceste conturi erau create de
operatorii de comanda si control ai MiniDuke, iar tweet-urile contineau etichete specifice care reprezentau URL-
urile criptate pentru backdoor-uri. Aceste URL-uri ofereau acces catre centrele de comanda si de control, care
furnizau in sistem potentiale comenzi si transferuri criptate de backdoor-uri suplimentare, prin intermediul
fisierelor GIF.

Potrivit analizei, creatorii MiniDuke par sa furnizeze un sistem de backup dinamic care, de asemenea, poate
trece neobservat. Daca Twitter nu functioneaza sau daca aceste conturi sunt inchise, malware-ul poate folosi
Google Search pentru a gasi seria criptata pentru urmatorul centru de control si de comanda. Acest model este
flexibil si permite operatorilor sa schimbe constant felul in care backdoor-urile trimit inapoi comenzile
urmatoare sau codul de malware, in functie de nevoie.

Odata ce sistemul infectat localizeaza centrul de control si de comanda, acesta primeste backdoor-urile criptate
camuflate in fisiere GIF si deghizate in fotografii care apar in computerul victimei. De indata ce sunt descarcate
in computer, acestea pot descarca un backdoor de dimensiuni mai mari, care desfasoara cateva actiuni de baza,
precum copierea, mutarea sau inlaturarea fisierelor, crearea de fisiere, blocarea unor actiuni si, bineinteles,
descarcarea si executarea unui nou malware.

Backdoor-ul malware este conectat la doua servere, unul in Panama, altul in Turcia, pentru a primi instructiuni
de la atacatori.
themysteryofthepdf0-dayassemblermicrobackdoor by