Magyar célpontokat is támadtak a Miniduke-kal

2014. július 8. kedd, 07:44 • www.hirado.hukiber-kémkedés, kiber biztonság, hekkertámadás,
A Miniduke implantátumok ismét megjelentek, s a kormányok és más szervezetek elleni aktív kampányokhoz használják fel őket. Ráadásul új platformját, a BotGenStudio-t nem csupán az APT stílusú támadók, hanem a rendvédelmi szervek és a hagyományos bűnözők is igénybe vehetik. A Miniduke implantátumok ismét megjelentek, s a kormányok és más szervezetek elleni aktív kampányokhoz használják fel őket. Ráadásul új platformját, a BotGenStudio-t nem csupán az APT stílusú támadók, hanem a rendvédelmi szervek és a hagyományos bűnözők is igénybe vehetik.

Twitter megosztás
Cikk nyomtatása

Egyedi funkciók

A 2013-as felfedezést követően a Miniduke mögött álló hekkerek egy másik egyedi backdoort kezdtek el használni, amely képes többféle információ ellopására, és a malware népszerű alkalmazásokat utánozza.

Az új fő Miniduke backdoor (TinyBaron vagy CosmicDuke néven is ismert) a testreszabható BotGenStudio keretrendszert használja, amely rendelkezik a komponensek be- vagy kikapcsolását lehetővé tévő rugalmassággal a bot létrehozásakor. A malware képes többféle információ ellopására. A backdoor sokféle alkalmazást tud megvalósítani/utánozni, amelyek között megtalálható egy keylogger, egy általános hálózatiadat-gyűjtő, egy képernyő- és vágólap-lopó, a Microsoft Outlook, egy Windows Address Book-lopó, egy jelszólopó a Skype-hoz, a Google Chrome, a Google Talk, az Opera, a TheBat!, a Firefox, a Thunderbird, egy Protected Storage adatlopó, valamint egy tanúsítvány/privátkulcs-exportáló.

A malware többféle hálózati kapcsolatot valósít meg az adatok kivonására: FTP-vel való feltöltést, valamint háromféle HTTP kommunikációs módszert. A kivont adatok tárolását ugyancsak érdekes módon oldja meg a Miniduke. Amikor egy fájlt feltölt a C&C szerverre, azt kis (3 KB-os méretű) darabokra szabdalja, amelyeket tömörít, titkosít és több különböző konténerben helyez el, s ezeket egymástól függetlenül tölti fel. Az utófeldolgozásnak ezek a rétegei garantálják, hogy nagyon kevés kutató lesz képes megtalálni az eredeti adatokat.

A Miniduke minden egyes áldozata egyedi azonosítót kap, ami lehetővé teszi speciális frissítések eljuttatását az adott áldozathoz. Az önvédelem érdekében a malware fejlett technikákat használ annak érdekében, hogy a vírusellenes programok ne tudják analizálni az implantátumot.

C&C szerverek – kettős cél

A vizsgálat során a Kaspersky Lab szakértőinek sikerült megszerezniük az egyik CosmicDuke parancs és vezérlő (C&C) szerver egy példányát. Úgy tűnik, ezt nem csak a CosmicDuke-ot üzemeltetők és a fertőzött PC-k közötti kommunikációra használták, hanem más műveletekre is, így például más internetes szerverek feltörésére azzal a céllal, hogy mindenféle olyan információt összegyűjtsenek, amely potenciális célpontokhoz vezethet. Ezért a C&C szervert felszerelték egy sor nyilvánosan elérhető hekkereszközzel a webhelyeken lévő sérülékenységek felkutatásához és kihasználásához.

Kik a lehetséges áldozatok?

Érdekes módon, míg a korábbi Miniduke implantátumokkal főként a kormányzati szervezeteket célozták, addig az új típusú CosmicDuke implantátumuk áldozati köre kibővült. Bekerültek a diplomáciai szervezetek, az energiaszektor, a telekomcégek, a katonai beszállítók, valamint az illegális és ellenőrzött anyagok forgalmazásával és értékesítésével foglalkozó személyek.

A Kaspersky Lab szakértői mind a CosmicDuke, mind a régebbi Miniduke szervereket elemezték. Az utóbbiakról sikerült megszerezniük az áldozatok nevét és tartózkodási helyét, így kiderült, hogy a malware korábbi változatával a hekkerek ausztráliai, belgiumi, franciaországi, németországi, magyarországi, hollandiai, spanyolországi, ukrajnai és egyesült államokbeli célpontokat támadtak. Ezek közül legalább három országban az áldozatok a kormányzati szektorhoz tartoznak.

Az egyik analizált CosmicDuke szerveren ugyancsak hosszú áldozati listát találtak (139 egyedi IP-címet) 2012 áprilisától kezdődően. A legtöbb áldozatnak otthont adó országok tízes toplistája a következő: Grúzia, Oroszország, Egyesült Államok, Nagy-Britannia, Kazahsztán, India, Fehéroroszország, Ciprus, Ukrajna, Litvánia. A támadók ki akarták terjeszteni tevékenységüket, ezért potenciális áldozatok IP-címeit gyűjtötték be Azerbajdzsánból, Görögországból és Ukrajnából.

Dealerek a célkeresztben

A legszokatlanabb áldozatok azok a személyek voltak, akik illegális és ellenőrzött szerek – szteroidok és hormonok – forgalmazásával és eladásával foglalkoznak. Ilyen típusú áldozatokat csak Oroszországban találtak.

„Némileg szokatlan, hogy magánszemélyek is célpontba kerültek – ha APT-ről hallunk, hajlamosak vagyunk arra gondolni, hogy kormányok által támogatott kiberkémkedési kampányról van szó. Két magyarázatot találtunk. Az egyik lehetőség az, hogy a Miniduke-nál használt BotGenStudio malware platform úgynevezett 'legális kémeszközként' ugyancsak elérhető, hasonlóan a HackingTeam-féle RCS-hez, amelyet széles körben használnak a rendvédelmi szervek. Egy másik lehetőség, hogy könnyen hozzáférhető a feketepiacon, és a gyógyszeripari cégek megvásárolták a riválisaik elleni kémkedéshez” – vázolta Vitaly Kamluk, a Kaspersky Lab globális kutató-elemző csapatának vezető biztonsági kutatója.