Tutkijat löytävät uuden maailmanlaajuisen tietoverkkohyvennyskampanjan

Turvallisuustutkijat ovat todenneet käynnissä olevan tietoverkkohyvennyskampanjan, joka vaaransi 59 tietokoneen kuuluvan valtion organisaatioihin, tutkimuslaitoksiin, tutkimuslaitoksiin ja yksityisyrityksiin 23 maasta. viimeiset 10 päivää.

Hyökkäyskampanja löydettiin ja analysoitiin tutkijoilta tietoturvayhtiö Kaspersky Labin ja CrysyS-laboratorion CrySyS: stä.

Dubbed MiniDuke, hyökkäyskampanja käytettyjä kohdennettuja sähköpostiviestejä - tekniikkaa, joka tunnetaan nimellä keihäskampaukset -, joka toi mukanaan haitallisia PDF-tiedostoja, jotka on tehty uudelleen Adobe Reader 9, 10 ja 11

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Hyödyt löytyivät alun perin FireEye-tietoturva-tutkijoilta aiemmin tässä hyökkäyksessä. ohittaa hiekkalaatikon suojan Adobe Reader 10: ssa ja 11. Adobe julkaisi suojauskorjauksia haavoittuvuuksille, jotka kohdistuvat haavoittuvuuteen 20. helmikuuta.

Uudet MiniDuke-hyökkäykset käyttävät samaa hyödyntämistä, jonka FireEye on tunnistanut, mutta muutamilla kehittyneillä muutoksilla Kaspersky Labin maailmanlaajuisen tutkimus- ja analyysitiimin johtaja Costin Raiu keskiviikkona. Tämä voi viitata siihen, että hyökkääjät pääsivät työkalupakkiin, jota käytettiin alkuperäisen hyväksikäytön luomiseen.

Haitalliset PDF-tiedostot ovat väärennettyjä kopioita sellaisista raportista, joilla on sisältöön liittyviä kohdennettuja organisaatioita, sekä raportti epävirallisesta Asia-Europe Meeting (ASEM) seminaari ihmisoikeuksista, raportti Ukrainan Naton jäsenyyttä koskevasta toimintasuunnitelmasta, raportti Ukrainan alueellisesta ulkopolitiikasta ja raportti vuoden 2013 Armenian talousliitosta ja enemmän.

Jos hyväksikäyttö onnistuu, väärennettyjä PDF-tiedostoja asenna haittaohjelmien pala, joka on salattu kyseisestä järjestelmästä kerättyjen tietojen kanssa. Tätä salaustekniikkaa käytettiin myös Gauss Cyber-vakoilussa haittaohjelmissa ja estää haittaohjelman analysoimisen eri järjestelmässä, Raiu sanoi. Jos se toimii toisella tietokoneella, haittaohjelma toteutetaan, mutta se ei käynnistä sen haitallisia toimintoja, hän sanoi.

Toinen mielenkiintoinen osa tätä uhkaa on se, että se on kooltaan vain 20 kt ja kirjoitettu Assembler-järjestelmässä, jota käytetään harvoin tänään haittaohjelmien luojia. Sen pieni koko on myös epätavallinen verrattuna nykyajan haittaohjelmien kokoon, Raiu sanoi. Tämä viittaa siihen, että ohjelmoijat olivat "vanhoja kouluja", hän sanoi.

Hyökkäyksen ensimmäisessä vaiheessa asennetut haittaohjelmat liittyvät tiettyihin Twitter-tileihin, jotka sisältävät salattuja komentoja, jotka viittaavat neljään verkkosivustoon, jotka toimivat komento- ohjauspalvelimia. Nämä verkkosivustot, jotka sijaitsevat Yhdysvalloissa, Saksassa, Ranskassa ja Sveitsissä, ylläpitävät salattuja GIF-tiedostoja, jotka sisältävät toisen takaoven ohjelman.

Toinen takaportti on päivitys ensimmäiseen ja yhdistää takaisin komentorivi- ja ohjauspalvelimiin ladata vielä toinen takaoven ohjelma, joka on ainutlaatuisesti suunniteltu jokaiselle uhreille. Keskiviikkona käsky- ja -ohjauspalvelimet järjestivät viisi erilaista takaoven ohjelmia viittä ainutlaatuista uhria varten Portugalissa, Ukrainassa, Saksassa ja Belgiassa, Raiu sanoi. Nämä ainutlaatuiset takaportin ohjelmat yhdistyvät Panaman tai Turkin eri komento- ja valvontapalvelimiin ja sallivat hyökkääjien suorittavan komentoja tartunnan saaneille järjestelmille.

MiniDuke-verkko-vakoilukampanjan taustalla olevat ihmiset ovat toimineet ainakin huhtikuusta 2012 alkaen, kun yksi erityisistä Twitter-tileistä luotiin ensimmäisen kerran, Raiu sanoi. On kuitenkin mahdollista, että heidän toimintansa oli hienompaa vasta äskettäin, kun he päättivät hyödyntää uutta Adobe Reader -hyötyä, jotta he olisivat vaarassa saada mahdollisimman monta organisaatiota ennen haavoittuvuuksien korjaamista.

Uusissa hyökkäyksissä käytettävät haittaohjelmat ovat ainutlaatuisia ja niitä ei ole nähty aiemmin, joten ryhmä olisi käyttänyt aiemmin erilaisia ​​haittaohjelmia, Raiu sanoi. Hyökkääjät ovat luultavasti suuria tavoitteita ja hyökkäysten maailmanlaajuista luonnetta.

MiniDuken uhreissa ovat järjestöt Belgia, Brasilia, Bulgaria, Tšekki, Georgia, Saksa, Unkari, Irlanti.

Yhdysvalloissa tutkimuslaitoksella, joka on kaksi Yhdysvaltojen pro-US-ohjelmaa, Yhdysvalloissa, Yhdysvalloissa, Japanissa, Libanonissa, Liettuassa, Montenegrossa, Portugalissa, Romaniassa, Venäjällä, Sloveniassa, Espanjassa, Turkissa, Raiu sanoi ilman nimeämistä uhreille.

Hyökkäys ei ole niin hienostunut kuin Flame tai Stuxnet, mutta se on korkean tason kuitenkin, Raiu sanoi. Ei ole mitään viitteitä siitä, missä hyökkääjät voivat toimia tai mitä etuja he palvelevat.

Se sanoi, että takaoven koodaus tyyli muistuttaa joukko haittaohjelmia kirjoittajat tunnetaan 29A, uskotaan olevan kuollut vuodesta 2008. On olemassa "666" allekirjoitus koodissa ja 29A on heksadesimaalinen esitys 666, Raiu sanoi.

"666" arvo löytyi myös FireEyen aikaisemmissa hyökkäyksissä käytettävään haittaohjelmiin, mutta tämä uhka oli erilainen kuin MiniDuke, Raiu sanoi. Kysymys siitä, ovatko kaksi hyökkäystä sukua on edelleen avoinna.

Tämän verkkoviestintäkampanjan uutiset ovat nousseet esiin uudistuneista keskusteluista Kiinan kiertovaroitushäiriöstä erityisesti Yhdysvalloissa, mikä sai aikaan äskettäin julkaistun raportin turvallisuusyhtiö Mandiant. Raportissa on yksityiskohtaisia ​​tietoja verkkovälittäjien ryhmän pitkäaikaisesta toiminnasta, jota kutsutaan kommenteiksi, jonka Mandiant uskoo olevan Kiinan armeijan salaisen verkkokokouksen. Kiinan hallitus on hylännyt väitteet, mutta raportti katettiin laajalti tiedotusvälineissä.

Raiu totesi, ettei mikään MiniDuken uhreista tähän mennessä ole ollut Kiinasta, mutta kieltäytyi spekuloimasta tämän seikan merkitystä. Viime viikolla muilta yrityksiltä tietoturva-tutkijat havaitsivat, että kohdennetut hyökkäykset, jotka jakavat saman PDF: n, hyödyntävät masquerading-kopioita Mandiant-raportista.

Nämä hyökkäykset asentivat haittaohjelmia, jotka olivat selkeästi kiinalaista alkuperää, Raiu sanoi. Kuitenkin tapa, jolla hyödyntämistä käytettiin näissä hyökkäyksissä, oli hyvin raaka ja haittaohjelmat olivat epäedullinen verrattuna MiniDukeen, hän sanoi.