Forscher entdecken neue globale Cyber-Spionage-Kampagne

Sicherheitsforscher haben eine laufende Cyber-Spionage-Kampagne identifiziert, die 59 Computer von Regierungsorganisationen, Forschungsinstituten, Denkfabriken und privaten Unternehmen aus 23 Ländern der Welt gefährdete in den letzten 10 Tagen.

Die Angriffskampagne wurde von Forschern der Sicherheitsfirma Kaspersky Lab und dem Labor für Kryptographie und Systemsicherheit (CrySyS) der Budapester Universität für Technologie und Wirtschaft entdeckt und analysiert.

Die Angriffskampagne MiniDuke verwendete zielgerichtete E-Mail-Nachrichten - eine Technik, die als Spear-Phishing bekannt ist -, die bösartige PDF-Dateien enthielt, die mit einem Recen manipuliert wurden ty patched exploit für Adobe Reader 9, 10 und 11.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Der Exploit wurde Anfang des Monats von Sicherheitsforschern von FireEye bei aktiven Angriffen entdeckt und ist in der Lage In Adobe Reader 10 und 11 wurde der Sandbox-Schutz umgangen. Adobe hat Sicherheitsupdates für die vom Exploit am 20. Februar betroffenen Sicherheitslücken veröffentlicht.

Die neuen MiniDuke-Attacken verwenden denselben Exploit wie FireEye, aber mit einigen erweiterten Modifikationen Costin Raiu, Leiter des globalen Forschungs- und Analyseteams von Kaspersky Lab, am Mittwoch. Dies könnte darauf hindeuten, dass die Angreifer Zugriff auf das Toolkit hatten, mit dem der ursprüngliche Exploit erstellt wurde.

Die schädlichen PDF-Dateien sind gefälschte Kopien von Berichten mit Inhalten, die für die Zielorganisationen relevant sind, und enthalten einen Bericht über das informelle Asien-Europa-Treffen (ASEM) ein Seminar über Menschenrechte, einen Bericht über den NATO-Aktionsplan der Ukraine, einen Bericht über die regionale Außenpolitik der Ukraine und einen Bericht über die armenische Wirtschaftsvereinigung von 2013 und mehr.

Wenn der Exploit erfolgreich ist, die betrügerischen PDF-Dateien Installieren Sie eine Malware, die mit Informationen verschlüsselt wurde, die vom betroffenen System erfasst wurden. Diese Verschlüsselungstechnik wurde auch in der Cyber-Spionage-Software Gauss verwendet und verhindert, dass die Malware auf einem anderen System analysiert wird, sagte Raiu. Wenn er auf einem anderen Computer ausgeführt wird, wird die Malware zwar ausgeführt, führt aber ihre schädlichen Funktionen nicht aus.

Ein weiterer interessanter Aspekt dieser Bedrohung ist, dass sie nur 20 KB groß ist und in Assembler geschrieben wurde, eine Methode, die nur selten verwendet wird Heute von Malware-Machern. Seine geringe Größe ist auch ungewöhnlich im Vergleich zu der Größe moderner Malware, sagte Raiu. Dies deutet darauf hin, dass die Programmierer "old-school" waren, sagte er.

Die während dieser ersten Phase des Angriffs installierte Malware verbindet sich mit bestimmten Twitter-Accounts, die verschlüsselte Befehle enthalten, die auf vier Websites verweisen, die als Befehls- und Kontrollserver. Diese Websites, die in den USA, Deutschland, Frankreich und der Schweiz gehostet werden, beherbergen verschlüsselte GIF-Dateien, die ein zweites Backdoor-Programm enthalten.

Die zweite Hintertür ist eine Aktualisierung auf die erste und stellt eine Verbindung zu den Command-and-Control-Servern her um ein weiteres Backdoor-Programm herunterzuladen, das speziell für jedes Opfer entwickelt wurde. Ab Mittwoch veranstalteten die Command-and-Control-Server fünf verschiedene Backdoor-Programme für fünf einzigartige Opfer in Portugal, der Ukraine, Deutschland und Belgien, sagte Raiu. Diese einzigartigen Backdoor-Programme sind mit verschiedenen Command-and-Control-Servern in Panama oder der Türkei verbunden Sie erlauben den Angreifern, Befehle auf den infizierten Systemen auszuführen.

Die Leute, die hinter der Cyber-Spionage-Kampagne von MiniDuke stecken, sind seit mindestens April 2012 aktiv, als eines der speziellen Twitter-Konten erstellt wurde, sagte Raiu. Es ist jedoch möglich, dass ihre Aktivitäten bis vor kurzem subtiler waren, als sie sich entschieden, den neuen Adobe Reader-Exploit zu nutzen, um so viele Unternehmen wie möglich zu kompromittieren, bevor die Sicherheitslücken geschlossen werden, sagte er.

Die Malware, die in den neuen Angriffen verwendet wird, ist einzigartig und wurde bisher noch nicht gesehen, so dass die Gruppe in der Vergangenheit möglicherweise andere Malware verwendet hat, sagte Raiu. Gemessen an der Vielzahl der Ziele und dem globalen Charakter der Angriffe hätten die Angreifer wahrscheinlich eine große Agenda, sagte er.

MiniDuke-Opfer sind Organisationen aus Belgien, Brasilien, Bulgarien, der Tschechischen Republik, Georgien, Deutschland, Ungarn und Irland Israel, Japan, Lettland, Libanon, Litauen, Montenegro, Portugal, Rumänien, Russland, Slowenien, Spanien, Türkei, Ukraine, Vereinigtes Königreich und den Vereinigten Staaten.

In den Vereinigten Staaten, ein Forschungsinstitut, zwei pro-US Think Tanks und ein Gesundheitsunternehmen seien von diesem Angriff betroffen gewesen, sagte Raiu, ohne eines der Opfer zu benennen.

Der Angriff ist nicht so ausgeklügelt wie Flame oder Stuxnet, aber dennoch ein hohes Niveau, sagte Raiu. Es gibt keine Hinweise darauf, woher die Angreifer operieren könnten oder welche Interessen sie bedienen könnten.

Der Backdoor-Codierungsstil erinnert an eine Gruppe von Malware-Autoren, bekannt als 29A, die seit 2008 nicht mehr existiert "666" -Signatur im Code und 29A ist die hexadezimale Darstellung von 666, sagte Raiu.

Ein "666" -Wert wurde auch in der Malware gefunden, die bei den früheren Angriffen von FireEye verwendet wurde, aber diese Bedrohung unterschied sich von MiniDuke. Sagte Raiu. Die Frage, ob die beiden Angriffe zusammenhängen, bleibt offen.

Die Nachricht von dieser Cyber-Spionage-Kampagne folgt auf eine erneute Diskussion über die Bedrohung der chinesischen Cyber-Spionage, insbesondere in den USA, die durch einen kürzlich veröffentlichten Bericht von Sicherheitsfirma Mandiant. Der Bericht enthält Details über die jahrelange Aktivität einer Gruppe von Cyberangriffen, die als Comment Crew bezeichnet wird, von der Mandiant glaubt, dass sie eine geheime Cybereinheit der chinesischen Armee ist. Die chinesische Regierung hat die Vorwürfe zurückgewiesen, aber der Bericht wurde in den Medien ausführlich behandelt.

Raiu sagte, dass keines der bisher identifizierten MiniDuke-Opfer aus China stammte, lehnte es jedoch ab, über die Bedeutung dieser Tatsache zu spekulieren. Letzte Woche identifizierten Sicherheitsforscher anderer Unternehmen gezielte Angriffe, bei denen das gleiche PDF-Exploit als Kopien des Mandiant-Berichts verbreitet wurde.

Bei diesen Angriffen wurde Malware installiert, die eindeutig chinesischen Ursprungs war, sagte Raiu. Die Art und Weise, in der der Exploit bei diesen Angriffen verwendet wurde, war jedoch sehr grob und die Malware war im Vergleich zu MiniDuke einfach, sagte er.