«Касперский» нашел элитную шпионскую сеть, ворующую правительственные данные

Интернет Безопасность Веб-сервисы Стратегия безопасности Новости поставщиков
мобильная версия
, Текст: Владислав Мещеряков
«Лаборатория Касперского» сомевстно с венгерской CrySys Lab обнаружила бэкдор MiniDuke, написанный в стиле «элитных программистов старой школы» и поразивший правительственные и исследовательские учреждения в нескольких европейских странах и США.

«Лаборатория Касперского» объявила о выявлении шпионской программы MiniDuke, созданной неустановленными разработчиками для атак на компьютерные сети и кражи данных из дипломатических и правительственных структур.

Эксперты сообщают о глобальном масштабе работы MiniDuke. По данным экспертов, бэкдором поражены госучреждения на Украине, в Бельгии, Ирландии, Португалии, Румынии и Чехии, четыре исследовательских и медицинских организации в США и венгерский исследовательский фонд.

Помимо научно-исследовательских организаций в числе жертв MiniDuke есть учреждения, занимающиеся вопросами энергетики, в том числе ядерной, космические агентства и торговые предприятия. Как говорят в «Лаборатории Касперского», программа нацелена на похищение «данных геополитического характера».

Несмотря на широту географии MiniDuke, число его жертв сравнительно невелико. В «Касперском» говорят примерно о 50 пораженных им ПК, что является типичным числом жертв при целевых кибератаках на госструктуры.

Игорь Суменков, антивирусный эксперт «Лаборатории Касперского», пояснил CNews, что MiniDuke не имеет отношения к уже известным платформам, использованным в целевых атаках.

Первооткрыватели MiniDuke эксперты «Касперского» и венгерской CrySys Lab отмечают высокое качество работы создателей вредоносной программы. По словам Евгения Касперского, «подобный стиль программирования в вредоносном ПО использовался в конце 1990-х - начале 2000-х. Исполнители угроз такого типа «спали» более 10 лет и вдруг «проснулись». Эти элитные писатели вредоносных программ старой закалки были крайне успешны в создании сложных вирусов, а сейчас они совмещают свои способности с новыми, способными ускользать от защитных технологий эксплойтами для того, чтобы атаковать государственные учреждения и научные организации в разных странах».

MiniDuke написан на ассемблере, и потому его основной модуль занимает всего около 20 кБ. Для его распространения применялся недавно открытый эксплойт в Adobe Reader CVE-2013-6040.


Фрагмент твита с кодированной командой для MiniDuke

Для заражения целевых систем авторы MiniDuke применили технику социальной инженерии, разослав PDF-документы с эксплойтами, атакующими Adobe Reader версий 9, 10 и 11.

Документы содержали сфабрикованный контент, касающийся данных о внешней политике Украины, планов стран-участниц НАТО и информацию о семинарах по правам человека.

По данным «Касперского», сейчас MiniDuke активен: его последнее обновление произошло 20 февраля 2013 г.

Программа старается скрывать свое присутствие на пораженном ПК. Так, обнаружив присутствие инструментов анализа системы, существующих, в частности, в VMWare, бэкдор останавливает свою работу.

Интересно, что для контакта с командными серверами вредонос активно использует Twitter: через специальные твиты, содержащие зашифрованные URL-адреса, и оставленные операторами вредоносной сети, MiniDuke получает доступ как к командным серверам, так и инструкции для дальнейшей работы.

Зараженный компьютер получает бэкдоры от сервера в виде GIF-файлов. После установки в систему-жертву бэкдоры способны копировать, перемещать или удалять файлы, создавать каталоги и останавливать процессы.

В случае простоя серверов Twitter MiniDuke применяет запасной канал коммуникации, используя для поиска закодированных ссылок в Сети поиск Google.

Хотя антивирусные эксперты затрудняются указывать национальную принадлежность заказчиков и разработчиков MiniDuke, известно, что два командных сервера бэкдора находятся в Панаме и Турции.