Počítače vládních institucí v Česku napadl kybernetický špionážní malware MiniDuke

Dle analýzy Kaspersky Lab a CrySys Lab se oběťmi malwaru MiniDuke staly významné cíle mimo jiné z řady vládních institucí v České republice, na Ukrajině, v Belgii, Portugalsku, Rumunsku a v Irsku. Kromě nich útočníci pronikli do výzkumného ústavu, dvou think tanků a zdravotnického zařízení v USA a výzkumné instituce v Maďarsku. 

„Jde o dost neobvyklý útok,“ řekl Eugene Kaspersky, zakladatel a šéf Kaspersky Lab a dodal: „Pamatuji se na podobný styl škodlivých programů z přelomu devadesátých a nultých let. Zřejmě se tito autoři malwaru najednou probudili z desetileté hibernace a připojili se k aktivní sofistikované skupině kybernetických zločinců. Tihle elitní ‚old school‘ programátoři v minulosti vytvářeli velice efektivní, složité viry a teď své schopnosti propojují s nově rozvinutými sandbox-evading exploits, což využívají k útokům na vládní úřady nebo výzkumné instituce v řadě zemí.“

Hlavní zjištění analytiků Kaspersky Lab 

Vysoce specializovaný backdoor malwaru MiniDuke byl napsán v Assembleru a má pouze 20kb, je tedy velice malý. 

Malware je stále aktivní, poslední záznamy o jeho činnosti pocházejí z 20. února 2013. Ke zneužití využívají útočníci velice účinné techniky sociálního inženýrství. Obětem zasílají škodlivé PDF dokumenty se zdánlivě relevantním obsahem – zfalšovanými informacemi o semináři o lidských právech (ASEM) a plánech Ukrajiny v zahraniční politice a o připojení k NATO. Tyto škodlivé soubory jsou prošpikovány kódy zaměřenými na verze 9, 10 a 11 programu Adobe Reader, obcházející jeho sandbox. 

Jakmile je systém zkompromitován, na disk oběti je nahrán malý downloader o velikosti 20kb. Pro každý systém je speciálně upraven a obsahuje pro něj specifický backdoor napsaný v Assembleru. Jakmile je spuštěn při bootování systému, využije downloader sadu matematických kalkulací k určení unikátního otisku počítače a později tato data využívá k šifrování vlastní komunikace. Navíc dokáže včas zachytit pokus o odhalení a okamžitě se v takovém případě zastaví. Jeho autoři zřejmě vědí přesně, jak experti IT a antivirových řešení pracují při odhalování malwaru. 

Pokud napadený systém splňuje požadované parametry, malware využije Twitter (bez vědomí uživatele) a pomocí speciálních tweetů z předem vytvořených účtů se umí spojit s Command and Control (C2) operátory malwaru MiniDuke. Ten je přitom velice flexibilní a nenápadný. Pokud nefunguje Twitter umí využít Google Search. Ke komunikaci využívají útočníci serverů v Panamě a v Turecku. 

Malware po nahrání do systému provádí řadu základních činností jako například kopírování, přesouvání, mazání souborů, vytváření adresářů, rušení procesů a také samozřejmě nahrávání a spouštění nového malwaru.