» »

Po Stuxnetu in Flamu še MiniDuke, ki je napadal tudi v Sloveniji

Po Stuxnetu in Flamu še MiniDuke, ki je napadal tudi v Sloveniji

Primer navodil prek Twitterja

vir: Secure List
Secure List - Raziskovalci v Kaspersky Labu so v sodelovanju s strokovnjaki z madžarskega Laboratorija za kriptografijo in varnost sistemov (CrySyS) pri budimpeški univerzi za tehniko in ekonomijo odkrili nov kos zlonamerne programske opreme, ki je v zadnjih 10 dneh okužil več deset izbranih organizacij v 23 državah, tudi v Sloveniji. Poimenovali so ga MiniDuke in predstavlja variacijo 12. februarja letos odkritega ItaDuka, ki je dobil ime zaradi italijanskih komentarjev v kodi (odlomki iz Dantejeve Božanske komedije).

MiniDuke izkorišča ranljivost v Adobe Readerju 9 in novejših, ki mu omogoča zaobiti peskovnik in izvesti kodo na računalniku. Adobe je popravek izdal prejšnjo sredo, a se MiniDuke še vedno širi, saj mnogo sistemov še ni posodobljenih. Analiza kaže, da gre za ciljan napad na dobro premišljen način. Napadalci so namreč organizacijam, ki so jih želeli napasti, poslali elektronsko sporočilo s priloženim PDF-jem, ki je videti zelo nedolžno. Dokumenti so na prvi pogled neškodljivi povzetki seminarja o človekovih pravicah, podatki o zunanji politiki Ukrajine, načrti organizacije NATO za širitev, poročilo armenske ekonomske zbornice itn. Skratka, vsaka organizacija je dobila prilagojen PDF, ki je bil videti zelo uporaben zanjo. Ko je prejemnik dokument odprl, se je na računalnik prenesla vsega 20 kB velika zlonamerna koda. Ta se je ob naslednjem zagonu računalnika zagnala in iz podatkov o računalniku izračunala unikaten prstni odtis, ki se v nadaljevanju uporablja za šifriranje komunikacije med črvom in krmilno-nadzornimi strežniki (C&C servers). Nekaj podobnega je počel že Gauss.

Zanimivo je, da je 20 kB zlonamerne kode napisane v zbirniku in ne kakšnem višjenivojskem jeziku, kar je redkost. Ko se koda zažene, namesti majhnega odjemalca za Twitter in spremlja nekaj vnaprej nastavljenih računov, kjer najde šifrirane ukaze in naslove za dostop do C&C-strežnikov. Če ti Twitterjevi računu niso dosegljivi, ima alternativni način komunikacije. Trenutno se ti strežniki nahajajo v Turčiji in Panami ter ponujajo pet različnih povezav za pet posebnih žrtev na Portugalskem, v Ukrajini, Nemčiji in Belgiji. Vse to kaže, da je napad zelo ozko specializiran. Uporabljena koda je nova in ni reciklirana iz Stuxneta, Flama ali katerega drugega črva.

Žrtve so v 23 državah, med njimi tudi v Sloveniji, kaže poročilo. Seveda ni javno znano, kdo so žrtve. V ZDA so recimo napadli dva think-tanka in eno zdravstveno ustanovo. Twitterjevi računi, ki jih MiniDuke spremlja, so bili registrirani aprila lani, torej gre za relativno nov kos zlonamerne programske opreme. Precej verjetno je, da je od tedaj črv pritajeno deloval in pošiljal zbrane informacije, po objavi popravka za Adobe Reader pa so upravljavci povečali intenzivnost delovanja črva, da zberejo karseda veliko podatkov pred zakrpanjem sistemov, kar je sprožilo odkritje črva.

Analiza je pokazala, da se MiniDuke po sofisticiranosti uvršča za Stuxnet in Flame, a pred zadnje napade kitajskih hekerjev na ZDA; so pa pisci MiniDuka uporabljali isto ranljivost kot Kitajci. Čeprav MiniDuke očitno ni okužil nobenih sistemov na Kitajskem, je preuranjeno soditi, od kod izvira.

12 komentarjev

Relanium ::

po objavi popravka za Adobe Reader pa so upravljavci povečali intenzivnost delovanja črva, da zberejo karseda veliko podatkov pred zakrpanjem sistemov, kar je sprožilo odkritje črva.

Se človek vpraša, koliko zalege je še neodkrite (in koliko morda sploh odkrite ne bo, ker so jih že zaustavili popravki)

phong ::

Ali Adobe res ne zna narediti varnih produktov. Adobe Reader in Flash sta (po objavah sodeč) polna varnostnih pomankljivosti.

Je uporaba Foxit Readerja kaj bolj varna? Kaj priporočate?

MisterR ::

Enako se lahko vprašaš za Oracle,Microsoft,Apple.. skratka za vsako podjetje, ki ima več kot 0.1% deleža.

Dr_M ::

Da, linux torej ne spada v to kategorijo.

phong ::

Čudi me to, da je ranljivosti v brskalnikih (izvzemši enega :) ) bore malo, čeprav ima praktično vsak računalnik nameščen brskalnik. Adobe po mojem mnenju slabo skrbi za varnost svojih produktov.

MisterR ::

Dr_M je izjavil:

Da, linux torej ne spada v to kategorijo.


Linux ni podjetje kot tako. Lahko pa komot s prstom pokažeš na njegove tržnike.

techfreak :) ::

Če napadaš preko brskalnika dobiš povprečno 1/3 uporabnikov. Če napadeš Flash dobiš skoraj vse uporabnike PCjev.

Še vseeno pa so verjetno brskalniki bolj varni. Če ne druga so vsaj bolj stabilni kot Flash.

gslo ::

kako je z alternativnimi bralniki pdf formatov? jaz sem se odločil močno omejiti adobe produkte, zato sem za pregledovanje PDF datotek dol snel opensource Evince za WIN (foxit reader se mi je zdel že mal nabloatan, ker sem hotel res simple program, le z osnovnimi funkcijami).

upam, da to sploh kaj pomaga. :-)

prenasalec ::

Najboljši je pa naslov poročila iz Kaspersky Laba:

The MiniDuke Mystery: PDF 0-day
Government Spy Assembler 0x29A Micro
Backdoor
(or 'how many cool words can you fit into one title')

ninja4it ::

@phong - Firefox je prav tako ranljiv!

k4vz0024 ::

Kateri antivirus odkrije to to golazen?

GBX ::

Zadeva je bila pri nas hitro urejena: https://vni.si/mduk


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Equation Group razvil hujše metode kot Stuxnet (strani: 1 2 )

Oddelek: Novice / Varnost
7533535 (27318) Iatromantis
»

Kako je britanski GCHQ vdrl v belgijski Belgacom

Oddelek: Novice / Varnost
3824596 (21334) matijadmin
»

Ruski rootkit Uroburos

Oddelek: Novice / Varnost
136044 (3834) Hayabusa
»

Po Stuxnetu in Flamu še MiniDuke, ki je napadal tudi v Sloveniji

Oddelek: Novice / Varnost
126173 (4428) GBX
»

Stuxnet, DuQu, Flame, Madi, Gauss ... Rdeči oktober! (strani: 1 2 )

Oddelek: Novice / Varnost
7424453 (21839) OmegaBlue

Več podobnih tem