A equipa de peritos da Kaspersky Lab publica um novo relatório de investigação a uma série de incidentes de segurança que implicaram o uso de um exploit no PDF do Adobe Reader (CVE-2013-6040) e um novo e altamente personalizado programa malicioso conhecido como MiniDuke. A “backdoor” do MiniDuke foi usada para atacar múltiplas entidades governamentais e instituições no mundo inteiro durante a semana passada. Os peritos da Kaspersky Lab, em parceria com a CrySys Lab, analisaram os ataques detalhadamente e publicam agora as suas conclusões.

De acordo com a análise da Kaspersky Lab, um número de alvos de elevado perfil foram já comprometidos pelos ataques do MiniDuke, inclusive entidades governamentais em Portugal, Ucrânia, Bélgica, Roménia, República Checa e Irlanda. Além disso, um instituto de investigação, dois “think tanks” e um prestador de serviços de saúde nos Estados Unidos também foram atacados, assim como foi uma fundação de pesquisa proeminente na Hungria.

“Este é um ciberataque muito excepcional,” disse Eugene Kaspersky, Fundador e CEO da Kaspersky Lab. “Lembro-me deste estilo de programação maliciosa do final dos anos 1990 e início dos anos 2000. E questiono-me se este tipo de programadores de malware, que estiveram ‘hibernados’ durante mais de uma década, terão subitamente despertado e juntado às fileiras do sofisticado grupo de cibercriminosos actualmente activo no cibermundo.

Estes programadores de malware de elite foram extremamente eficazes no passado na criação de vírus altamente complexos, e combinam agora essas habilidades com novos e avançados exploits capazes de contornar sistemas de sandbox, de forma a atacar entidades governamentais ou instituições de investigação em vários países. ”

“A backdoor do MiniDuke, altamente personalizada, foi escrita em Assembler e é muito pequena em tamanho, pesando apenas 20 KB” acrescentou Eugene Kaspersky. A combinação de “velhos” criadores de malware com novas técnicas de exploit recentemente descobertas e esquemas de engenharia social inteligente para comprometer alvos de elevado perfil é extremamente perigosa. ”

As principais conclusões da Kaspersky Lab:

Os atacantes do MiniDuke estão ainda activos e continuaram a criar malware até há muito pouco tempo – no passado dia 20 de Fevereiro de 2013 ainda o faziam. Para comprometer as suas vítimas, os atacantes usaram técnicas de engenharia social extremamente eficazes, que implicaram o envio de documentos PDF maliciosos aos seus alvos. Os PDFs eram de elevada importância – com conteúdos bem trabalhados, contendo informação falsa sobre um suposto seminário dedicado aos direitos humanos (ASEM), bem como dados sobre a política externa da Ucrânia e planos de adesão à NATO. Estes ficheiros PDF maliciosos foram manipulados de forma fraudulenta com exploits que atacam as versões 9, 10 e 11 do Adobe Reader, contornando os sistemas de ‘sandbox’. Um ‘toolkit’ foi usado para criar estes exploits e parece ser o mesmo que esteve na origem do ataque recente reportado pela FireEye. Contudo, os exploits usados no MiniDuke tinham diferentes objectivos e continham o seu próprio malware personalizado.

Uma vez explorado o sistema, um downloader muito pequeno é deixado no disco da vítima, tendo apenas 20 KB. Este downloader é único por sistema e contém uma backdoor escrita em Assembler. Quando carregado no arranque do sistema, o downloader usa um conjunto de cálculos matemáticos para determinar a impressão digital única do computador, usando estes dados para encriptar depois as suas comunicações. Também é programado para evitar a análise por o conjunto codificado de ferramentas existente em certos ambientes, como VMware. Se se depara com algum desses indicadores, o malware “esconde-se” no sistema em vez de avançar para outra etapa e expor assim a sua funcionalidade; isto indica que os escritores malware sabem exactamente o que os antivírus e profissionais de segurança TI estão a fazer para analisar e identificar o malware.

Se o sistema do alvo corresponder aos requisitos predefinidos, o malware usa o Twitter (sem conhecimento do utilizador) e começa a procurar tweets específicos de contas pré-configuradas. Estas contas foram criadas pelos operadores de Command and Control (C2) do MiniDuke, e os tweets mantêm tags específicas com etiquetas de URLs encriptadas para as backdoors. Estas URLs abrem as portas aos C2s, que depois emitem comandos e transferências encriptadas de backdoors adicionais para o sistema, através de ficheiros GIF.

Com base nesta análise, ao que tudo indica os criadores do MiniDuke proporcionam um sistema de backup dinâmico que também pode passar sem ser detectado. Se o Twitter não estiver a funcionar ou as contas estiverem em baixo, o malware pode usar também a Pesquisa do Google para encontrar as correntes encriptadas para o C2 seguinte. Este modelo é flexível e permite aos operadores modificar constantemente a forma como as suas backdoors recuperam ordens ou código malicioso à medida das necessidades.

Assim que o sistema infectado localiza o C2, recebe backdoors encriptadas que são escondidas dentro de ficheiros GIF e disfarçadas como fotos que aparecem na máquina da vítima. Assim que são descarregados na máquina, passam a ser capazes de fazer o download de uma backdoor maior que executa várias acções básicas, como copiar ficheiros, mover ficheiros, apagar ficheiros, criar directórios, interromper processos e, naturalmente, carregar e executar novo malware.