A cég ma jelentette be, hogy habár a Miniduke APT (Advanced Persistent Threat) üzemeltetője leállította a kampányát, vagy legalábbis csökkentette annak intenzitását a Kasperky Lab és partnere, a munkában nagyon fontos szerepet játszó magyar CrySyS Lab tavalyi bejelentésének hatására, 2014 elején ismét teljes erővel folytatta a támadásokat. A Kaspersky Lab szakértői ezúttal változásokat észleltek a támadás módjában és a felhasznált eszközökben.

A 2013-as felfedezést követően a Miniduke mögött álló hackerek egy másik egyedi backdoort kezdtek el használni, amely képes többféle információ ellopására, és a malware népszerű alkalmazásokat utánoz.

Egyedi funkciók

Az „új” fő Miniduke backdoor (TinyBaron vagy CosmicDuke néven is ismert) a testreszabható BotGenStudio keretrendszert használja, amely rendelkezik a komponensek be- vagy kikapcsolását lehetővé tévő rugalmassággal a bot létrehozásakor. A malware képes többféle információ ellopására. A backdoor sokféle alkalmazást tud megvalósítani/utánozni, amelyek között megtalálható egy keylogger, egy általános hálózatiadat-gyűjtő, egy képernyő- és vágólaplopó, a Microsoft Outlook, illetve egy Windows Address Book lopó, egy jelszólopó a Skype-hoz, a Google Chrome, a Google Talk, az Opera, a TheBat!, a Firefox, a Thunderbird, egy Protected Storage adatlopó, valamint egy tanúsítvány/privát kulcs exportáló.

A malware többféle hálózati kapcsolatot valósít meg az adatok kivonására: FTP-vel való feltöltést, valamint háromféle HTTP kommunikációs módszert. A kivont adatok tárolását ugyancsak érdekes módon oldja meg a Miniduke. Amikor egy fájlt feltölt a C&C szerverre, azt kis (3 kilobájtos) méretű darabokra szabdalja, amelyeket tömörít, titkosít és több különböző konténerben helyez el, s ezeket egymástól függetlenül tölti fel. Az utófeldolgozásnak ezek a rétegei garantálják, hogy nagyon kevés kutató lesz képes megtalálni az eredeti adatokat.

A Miniduke minden egyes áldozata egyedi azonosítót kap, ami lehetővé teszi speciális frissítések eljuttatását az adott áldozathoz. Az önvédelem érdekében a malware fejlett technikákat használ annak érdekében, hogy a vírusellenes programok ne tudják analizálni az implantátumot.

C&C szerverek – kettős cél

A vizsgálat során a Kaspersky Lab szakértőinek sikerült megszerezniük az egyik CosmicDuke parancs- és vezérlő- (C&C) szerver egy példányát. Úgy tűnik, ezt nem csak a CosmicDuke-ot üzemeltetők és a fertőzött PC-k közötti kommunikációra használták, hanem más műveletekre is, így például más internetes szerverek feltörésére azzal a céllal, hogy mindenféle olyan információt összegyűjtsenek, amely potenciális célpontokhoz vezethet. Ennek érdekében a C&C szervert felszerelték egy sor nyilvánosan elérhető hackereszközzel a webhelyeken lévő sérülékenységek felkutatásához és kihasználásához.

Áldozatok

Érdekes módon, míg a korábbi Miniduke implantátumokkal főként a kormányzati szervezeteket célozták, addig az új típusú CosmicDuke implantátumuk áldozati köre kibővült. Bekerültek a diplomáciai szervezetek, az energiaszektor, a távközlési cégek, a katonai beszállítók, valamint az illegális és ellenőrzött anyagok forgalmazásával és értékesítésével foglalkozó személyek.

A Kaspersky Lab szakértői mind a CosmicDuke, mind a régebbi Miniduke szervereket elemezték. Az utóbbiakról sikerült megszerezniük az áldozatok nevét és tartózkodási helyét, így kiderült, hogy a malware korábbi változatával a hackerek ausztráliai, belgiumi, franciaországi, németországi, magyarországi, hollandiai, spanyolországi, ukrajnai és egyesült államokbeli célpontokat támadtak. Ezek közül legalább három országban az áldozatok a kormányzati szektorhoz tartoznak.

Az egyik analizált CosmicDuke szerveren ugyancsak hosszú áldozati listát találtak (139 egyedi IP-címet) 2012 áprilisától kezdődően. A legtöbb áldozatnak otthont adó országok tízes toplistája a következő: Grúzia, Oroszország, Egyesült Államok, Nagy-Britannia, Kazahsztán, India, Belorusz, Ciprus, Ukrajna, Litvánia. A támadók ki akarták terjeszteni tevékenységüket, ezért potenciális áldozatok IP-címeit gyűjtötték be Azerbajdzsánból, Görögországból és Ukrajnából.

Dealerek a célkeresztben

A legszokatlanabb áldozatok azok a személyek voltak, akik illegális és ellenőrzött szerek – szteroidok és hormonok – forgalmazásával és eladásával foglalkoznak. Ilyen típusú áldozatokat csak Oroszországban találtak.

„Némileg szokatlan, hogy magánszemélyek is célpontba kerültek – ha APT-ről hallunk, hajlamosak vagyunk arra gondolni, hogy kormányok által támogatott kiberkémkedési kampányról van szó. Két magyarázatot találtunk. Az egyik lehetőség az, hogy a Miniduke-nál használt BotGenStudio malware-platform úgynevezett »legális kémeszközként« ugyancsak elérhető, hasonlóan a HackingTeam-féle RCS-hez, amelyet széles körben használnak a rendvédelmi szervek. Egy másik lehetőség, hogy könnyen hozzáférhető a feketepiacon, és a gyógyszeripari cégek megvásárolták a riválisaik elleni kémkedéshez” – nyilatkozta Vitaly Kamluk, a Kaspersky Lab globális kutató és elemző csapatának vezető biztonsági kutatója.

A Kaspersky Lab termékei a CosmicDuke backdoort Backdoor.Win32.CosmicDuke.gen és Backdoor.Win32.Generic néven azonosítják.