Skupina strokovnjakov iz Kaspersky Laba je objavila novo raziskovalno poročilo, v katerem je analizirala vrsto varnostnih incidentov, ki so vključevali nedavno odkrito izkoriščanje programskih kod v PDF datotekah v Adobe Readerju (CVE-2013-6040) in nov, izjemno prilagojen zlonamerni program, imenovanim MiniDuke. »Backdoor« program MiniDuke je bil v zadnjem tednu uporabljen v napadih na številne vladne organe in institucije po svetu. Strokovnjaki iz Kaspersky Laba so v sodelovanju s CrySys Labom napade analizirali in objavili svoje ugotovitve.
V analizi Kaspersky Laba so ugotovili, da so napadi MiniDukea ogrozili že številne pomembne tarče, vključno z vladnimi organi v Ukrajini, Belgiji, Romuniji, na Portugalskem, Češkem in Irskem. Poleg teh so bili ogroženi tudi raziskovalna institucija, dva t. i. »think tanka«, ponudnik zdravstvenih storitev v ZDA in raziskovalna fundacija na Madžarskem.
Primarne ugotovitve raziskave Kaspersky Laba:
• MiniDukeovi napadalci so v tem času še zmeraj aktivni, zlonamerni program pa so ustvarili šele pred nedavnim, tj. 20. februarja 2013. Da bi ogrozili žrtve, so napadalci uporabili izjemno učinkovite tehnike socialnega inženiringa, ki so vključevale tudi pošiljanje zlonamernih PDF datotek svojim tarčam. PDF je deloval zelo usmerjeno – z dobro izdelano vsebino, ki je vsebovala informacije o seminarju o človekovih pravicah (ASEM) ter o ukrajinski zunanji politiki in načrtih za članstvo v NATO. Škodljive PDF datoteke so vsebovale izkoriščanje programskih kod za različice 9, 10 in 11 programa Adobe, izogibajoč t. i. »sandboxu« – nadzorovanem okolju za razvoj in preizkus programa. S tem namenom so zlonamerneži ustvarili orodje, za katerega se je izkazalo, da je bilo enako tistemu, ki je bilo uporabljeno v nedavnem napadu, ki ga je prepoznal FireEye. Vendar pa je do izkoriščanja varnostnih lukenj pri MiniDukeovi napadov prišlo iz drugačnih razlogov in so pri tem uporabili svojo lastno, prilagojeno zlonamerno programsko opremo.
• Na disk žrtve se ob napadu na sistem naloži majhen program, ki je velik le 20 kB. Ta je za sistem edinstven in vsebuje prilagojena stranska vrata, ki je napisana v Assemblerju. Ko se ob zagonu sistema program naloži na računalnik, le ta uporabi zbirko matematičnih izračunov za določitev zasedbe računalnika. V zameno te podatke uporabi za edinstveno šifriranje svojega nadaljnjega sporočila. Programiran je tudi tako, da se izogne analizi v določenih okoljih, kot je na primer VMware. Če program ugotovi, da bi ga kateri bo kateri od teh kazalnikov odkril, preide program v stanje mirovanja (namesto da bi prešel v drugo fazo in z nadaljnjim dekodiranjem izpostavil več svoje funkcionalnosti). To pomeni, da zlonamerni programerji natančno vedo, kaj počnejo strokovnjaki IT varnosti in protivirusni strokovnjaki, da bi analizirali in prepoznali zlonamerno programsko opremo.
• Če sistem tarče izpolnjuje vse vnaprej določene zahteve, bo zlonamerni program (brez vednosti uporabnika) uporabil Twitter in z že izdelanih računov pričel z iskanjem specifičnih twitov. Račune so ustvaril MiniDukeovi ukazni in nadzorni (C2) operaterji, twiti pa za stranska vrata hranijo posebne oznake za označevanje šifriranih URL naslovov. Ti naslovi omogočajo dostop do C2, ki nato prek GIF datotek v sistemu omogočijo možne ukaze in šifrirane prenose dodatnih stranskih vrat.
• Iz analize je razvidno, da ustvarjalci MiniDukea zagotavljajo dinamični rezervni sistem, ki se lahko radarju tudi izogne. Če Twitter ne deluje ali so računi zaprti, lahko zlonamerni program uporabi Google Search, pri čemer šifrirane nize najde s C2. Tak model je prilagodljiv in operaterjem omogoča nenehno spreminjanje tega, kako lahko njihova stranska vrata dobijo dodatne ukaze ali škodljive kode, kadar te potrebujejo.
• Ko okuženi sistem najde C2, prejme šifrirana stranska vrata, ki so skrita v GIF datotekah in pretvorjena v slike, ki se pojavijo na računalniku žrtve. Ko jih enkrat prenesemo na računalnik, lahko s tem prenesemo večja stranska vrata, ki opravljajo več osnovnih dejavnosti, kot so kopiranje datoteke, premikanje datoteke, odstranjevanje datoteke, ustvarjanje imenika, t. i. »proces ubijanja« in, seveda, prenos in izvajanje novega zlonamernega programa.
• Za pridobivanje navodil s strani napadalcev zlonamerna stranska vrata povezuje dva strežnika, eden v Panami in drugi v Turčiji.
