A A A

Wirusy z poprzednich lat ciągle groźne

7 lipca 2014, 08:00
Badacze z Kaspersky Lab poinformowali o ciągłej szkodliwości wirusów działających w ramach akcji cyberszpiegowskiej Miniduke w 2013 r. Szkodliwe oprogramowanie ciągle jest używane w kampaniach antyrządowych.
Wirusy z poprzednich lat ciągle groźne

Mimo że osoby stojące za pierwotną kampanią Miniduke zaprzestały swojej działalności lub przynajmniej w znacznym stopniu zmniejszyły jej intensywność, badanie przeprowadzone przez Kaspersky Lab oraz CrySyS Lab na początku tego roku wykazało, że ta grupa cyberprzestępców znów aktywnie działa. Tym razem jednak eksperci zauważyli zmiany w podejściu i narzędziach wykorzystywanych przez atakujących.

„Nowy" backdoor Miniduke'a

Po ujawnieniu Miniduke'a przez Kaspersky Lab w 2013 r. stojące za nim osoby zaczęły używać backdoora własnej produkcji, który potrafił kraść różne rodzaje informacji. Ten szkodliwy program podszywał się pod popularne aplikacje, które z natury działają w tle, i robił to bardzo skutecznie - imitował ikony, nazwy a nawet rozmiary plików.

Główny kod „nowego" backdora Miniduke'a (znanego także pod nazwami TinyBaron oraz CosmicDuke) powstał przy użyciu narzędzia zwanego BotGenStudio, które pozwala na pełne dostosowanie modułów działających w szkodliwym programie. Komponenty te można podzielić na trzy grupy:

1. Uruchamianie - Miniduke/CosmicDuke może wykorzystywać menedżer zadań systemu Windows do uruchamiania specjalnego narzędzia, które dodaje proces szkodnika do rejestru systemowego. Zagrożenie może być także aktywowane, gdy użytkownika nie ma przy komputerze - wraz z uruchomieniem wygaszacza ekranu.

2. Rekonesans - szkodliwy program potrafi kraść szereg informacji, łącznie z plikami o określonych rozszerzeniach i słowach kluczowych, takich jak: *.exe; *.ndb; *.mp3; *.avi; *.rar; *.docx; *.url; *.xlsx; *.pptx; *psw*; *pass*; *login*; *admin*; *vpn; *.jpg; *.txt; *.lnk; *.dll; *.tmp. itd. Backdoor posiada wiele funkcji, łącznie z przechwytywaniem znaków wprowadzanych z klawiatury (keylogger), gromadzeniem ogólnych informacji o sieci, w której działa zainfekowana maszyna, przechwytywaniem zawartości ekranu, wyciąganiem informacji ze schowka i książek adresowych (Windows oraz Microsoft Outlook), kradzieżą haseł z komunikatora Skype i innych narzędzi (Google Chrome, Google Talk, Opera, TheBat!, Firefox, Thunderbird), przeglądaniem zawartości certyfikatów i kluczy prywatnych itd.

3. Ciche wyprowadzenie danych - szkodnik otwiera kilka połączeń sieciowych, by ukradkowo wysłać wszystkie wykradzione informacje. Wykorzystywane są zarówno połączenia FTP, jak i HTTP. Kolejną interesującą cechą nowego zagrożenia jest sposób, w jaki przechowywane są skradzione dane. Każdy plik przesyłany do serwera kontrolowanego przez cyberprzestępców jest dzielony na małe fragmenty (o rozmiarze około 3 KB każdy), które z kolei są kompresowane, szyfrowane i umieszczane w specjalnym kontenerze. Jeżeli plik jest bardzo duży, może zostać umieszczony w kilku takich kontenerach, które są kolejno wysyłane do atakujących. Te dodatkowe mechanizmy ochrony transmisji danych sprawiły, że niewielu badaczy jest w stanie dotrzeć do oryginalnych danych.

Każda ofiara CosmicDuke'a otrzymuje unikatowy identyfikator, ktory pozwala cyberprzestępcom wysyłać spersonalizowane uaktualnienia szkodliwego programu. Aby chronić się przed wykryciem, CosmicDuke wykorzystuje zaawansowane metody utrudniające analizę kodu przeprowadzaną przez oprogramowanie antywirusowe.

Główne odkrycia

Podczas analizy eksperci z Kaspersky Lab uzyskali dostęp do kopii jednego z serwerów wykorzystywanych przez cyberprzestępców do kontrolowania CosmicDuke'a (tzw. serwer C&C). Badania wykazały, że był on wykorzystywany nie tylko do zapewnienia komunikacji między atakującymi i zainfekowanymi komputerami, ale także do innych działań, łącznie z włamywaniem się do serwerów funkcjonujących w internecie w celu gromadzenia wszelkich informacji, które mogłyby doprowadzić do kolejnych ofiar. W tym celu serwer C&C został wyposażony w szereg ogólnie dostępnych narzędzi hakerskich.

Podczas gdy stary wariant Miniduke'a atakował wyłącznie organizacje rządowe, CosmicDuke celuje dodatkowo w organizacje dyplomatyczne, sektor energetyczny, operatorów telekomunikacyjnych, firmy związane z wojskowością, a także osoby zaangażowane w transportowanie i sprzedaż nielegalnych oraz kontrolowanych substancji.

Eksperci z Kaspersky Lab dokonali szczegółowej analizy serwerów wykorzystywanych zarówno w operacji CosmicDuke, jak i Miniduke. W przypadku starszego zagrożenia, atakujący byli zainteresowani celami z Australii, Belgii, Francji, Niemiec, Węgier, Holandii, Hiszpanii, Ukrainy oraz Stanów Zjednoczonych. Przynajmniej w przypadku trzech z tych krajów ofiary należały do sektora rządowego. Jeden ze zbadanych serwerów CosmicDuke'a posiadał długą listę ofiar (139 unikatowych adresów IP), której tworzenie rozpoczęło się w kwietniu 2012 r. Czołowa dziesiątka atakowanych krajów to: Gruzja, Rosja, Stany Zjednoczone, Wielka Brytania, Kazachstan, Indie, Białoruś, Cypr, Ukraina oraz Litwa. Cyberprzestępcy byli także zainteresowani rozszerzeniem zakresu swojej działalności i skanowali adresy IP przypisane do Azerbejdżanu oraz Grecji.

Do najbardziej nietypowej kategorii celów CosmicDuke'a należą osoby zaangażowane w transport i sprzedaż nielegalnych oraz kontrolowanych substancji, takich jak sterydy i hormony. Cele takie zostały wykryte wyłącznie w Rosji. „To dość nietypowe - zazwyczaj, gdy słyszymy o ataku tego kalibru, spodziewamy się działań inicjowanych przez rządy w celu szpiegowania konkretnych krajów. Widzimy jednak dwie możliwe przyczyny innego podejścia zastosowanego w kampanii CosmicDuke. Jedną z nich może być to, że platforma BotGenStudio, użyta do stworzenia tego szkodliwego kodu, jest także dostępna jako tzw. ‘legalne narzędzie spyware', takie jak program RCS firmy HackingTeam, który jest aktywnie wykorzystywany przez organy ścigania na całym świecie. Istnieje także możliwość, że narzędzie to jest dostępne w podziemiu i po prostu zostało zakupione przez firmy z branży farmaceutycznej, by szpiegować konkurencję" - powiedział Witalij Kamliuk, główny ekspert ds. bezpieczeństwa z Globalnego Zespołu ds. Badań i Analiz (GReAT), Kaspersky Lab.

Mimo że atakujący używają w kodzie szkodnika języka angielskiego, istnieją przesłanki, które pozwalają sądzić, że cyberprzestępcy zaangażowani w CosmicDuke'a nie pochodzą z żadnego z anglojęzycznych krajów. Eksperci ustalili, że osoby stojące za omawianą kampanią są aktywne przede wszystkim w dni robocze, choć zdarza im się okazjonalnie „pracować" w trakcie weekendów. Atakujący działają przede wszystkim w godzinach 8:00 - 21:00 czasu polskiego, jednak większość pracy wykonywana jest między 8:00 a 18:00.


Krzysztof Mocek / Informacja prasowa
krzysztof.mocek@firma.interia.pl
Tagi:
Ocena:
Oceń:
Komentarze (2)

Redakcja nie ponosi odpowiedzialności za treść komentarzy. Komentarze wyświetlane są od najnowszych.
Rincewind
Rincewind
7 lipca 2014, 20:45
Byłoby miło gdyby redakcja wspomniała o jakichś ciekawszych zagrożeniach niż w kółko o tym samym, ot ciekawy temat - http://blog.malwarebytes.org/malvertising-2/2014/06/a-look-at-a-double-dipping-advertising-network/ Fakt, wymaga pewnej wiedzy od autora tłumaczenia tak by był w stanie przekazać to czytelnikom PCF ale jest to o wiele bardziej wartościowy i interesujący materiał niż wieczne straszenie internetową mafią korzystającą od lat z tych samych zagrożeń.
avatar
~Anonim
7 lipca 2014, 20:06
admin napisał(a): Wirusy z poprzednich lat ciągle groźne "Z poprzednich lat"? jak to możliwe? Przecież antywirusy aktualizują się kilka razy w ciągu godziny (wg. tego co piszą ich producenci). A tu wirusy sprzed kilku lat są dalej groźne? Robimy propagandę zagrożenia, jednocześnie otwarcie przyznając, że nasze produkty zabezpieczające są bublem? I to już od kilku lat? W dziwnym kierunku cała ta szopka zmierza...
Najnowsze aktualności


Nie zapomnij o haśle!
21 czerwca 2022
Choć mogą się wydawać mało nowoczesne, hasła to nadal nie tylko jeden z najpopularniejszych sposobów zabezpieczania swoich kont, ale także...


Załóż konto
Co daje konto w serwisie pcformat.pl?

Po założeniu konta otrzymujesz możliwość oceniania materiałów, uczestnictwa w życiu forum oraz komentowania artykułów i aktualności przy użyciu indywidualnego identyfikatora.

Załóż konto