Araştırmacılar yeni küresel siber-casusluk kampanyası keşfettiler

Güvenlik araştırmacıları, 23 ülkeden hükümet kuruluşlarına, araştırma enstitülerine, düşünce kuruluşlarına ve özel şirketlere ait 59 bilgisayardan oluşan sürekli bir siber-casusluk kampanyası belirlediler. 10 gün geçti.

Saldırı kampanyası, güvenlik firması Kaspersky Lab araştırmacıları ve Budapeşte Teknoloji ve Ekonomi Üniversitesi Şifreleme ve Sistem Güvenliği Laboratuvarı (CrySyS) araştırmacıları tarafından keşfedildi ve analiz edildi.

MiniDuke, Saldırı Kampanyası hedeflenen e-posta iletileri - bir mızrak ile hilelenmiş kötü amaçlı PDF dosyalarını taşıyan - spear phishing olarak bilinen bir tekniktir Adobe Reader 9, 10 ve 11 için yamalı yamanın kullanımı.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılımlar nasıl kaldırılır]

Kötüye kullanım, bu ayın başlarında FireEye güvenlik araştırmacıları tarafından aktif saldırılarda bulundu ve Adobe Reader 10 ve 11'de korumalı alan korumasını atlamaktan dolayı Adobe, güvenlik açığından güvenlik açıklarını 20 Şubat'ta açıkladı.

Yeni MiniDuke saldırıları, FireEye tarafından tanımlanan aynı istismarın yanı sıra bazı gelişmiş değişiklikler de yaptı. Kaspersky Lab'ın küresel araştırma ve analiz ekibinin yöneticisi Çarşamba günü Costin Raiu. Bu, saldırganların orijinal istismarın yaratılmasında kullanılan araç setine erişebildiklerini gösteriyor.

Kötü amaçlı PDF dosyaları, hedeflenen kuruluşlarla ilgili içerik barındıran raporların sahte kopyalarıdır ve gayri resmi Asya-Avrupa Toplantısı hakkında bir rapor içerir. (ASEM) insan hakları konulu seminer, Ukrayna'nın NATO üyelik eylem planı hakkında bir rapor, Ukrayna'nın bölgesel dış politikası hakkında bir rapor ve 2013 Ermeni Ekonomik Birliği hakkında bir rapor ve daha fazlası.

Yolsuzluk başarılı olursa, haydut PDF dosyaları Etkilenen sistemden toplanan bilgilerle şifrelenen bir parça kötü amaçlı yazılım yükleyin. Bu şifreleme tekniği, Gauss siber-casusluk yazılımında da kullanıldı ve kötü amaçlı yazılımın farklı bir sistemde analiz edilmesini önlediğini belirtti. Farklı bir bilgisayarda çalıştırılırsa, kötü amaçlı yazılım çalıştırılır, ancak kötü niyetli işlevselliğini başlatmayacaktır, dedi.

Bu tehdidin bir başka ilginç yönü, yalnızca 20 KB boyutunda olması ve nadiren kullanılan bir yöntem olan Assembler'da yazılmasıdır. Bugün kötü amaçlı yazılım yaratıcıları tarafından. Raiu, küçük boyutlu büyüklüğünün, modern kötü amaçlı yazılımların boyutuyla karşılaştırıldığında sıra dışı olduğunu söyledi. Bu, programcıların "eski okul" olduğunu söyledi.

Saldırının bu ilk aşamasında kurulan kötü amaçlı yazılımın parçası, komut olarak davranan dört web sitesine işaret eden şifrelenmiş komutlar içeren belirli Twitter hesaplarına bağlanır. kontrol sunucuları. ABD, Almanya, Fransa ve İsviçre'de barındırılan bu web siteleri, ikinci bir arka kapı programı içeren şifrelenmiş GIF dosyalarını barındırıyor.

İkinci arka kapı, birincisi için bir güncellemedir ve komut-kontrol sunucularına geri bağlanır. Her kurban için benzersiz tasarlanmış başka bir arka kapı programı indirmek için. Çarşamba günü, komuta ve kontrol sunucuları Portekiz, Ukrayna, Almanya ve Belçika'daki beş benzersiz kurban için beş farklı arka kapı programına ev sahipliği yapıyordu. Raiu, bu benzersiz arka kapı programlarının Panama ya da Türkiye'deki farklı komuta kontrol sunucularına bağlandığını söyledi. ve saldırganların enfekte sistemler üzerinde komutlar yürütmesine izin veriyorlar.

MiniDuke siber-casusluk kampanyasının arkasındaki insanlar en az Nisan 2012'den bu yana faaliyet gösterdiler. Bununla birlikte, yakın zamana kadar faaliyetlerinin daha incelikli olması muhtemeldi, yeni Adobe Reader istismarından yararlanmaya karar verdiklerinde, güvenlik açıklarının yamalanmadan önce olabildiğince çok kuruluştan ödün vermeleri gerektiğine karar verdiler.

Raiu, yeni saldırılarda kullanılan kötü amaçlı yazılımın benzersiz olduğunu ve daha önce görülmediğini, dolayısıyla grubun geçmişte farklı kötü amaçlı yazılım kullanmış olabileceğini söyledi. Çok çeşitli hedeflere ve saldırıların küresel niteliğine bakarak, saldırganların büyük bir gündeme sahip olabileceğini söyledi.

MiniDuke kurbanları arasında Belçika, Brezilya, Bulgaristan, Çek Cumhuriyeti, Gürcistan, Almanya, Macaristan, İrlanda'dan kuruluşlar var. İsrail, Japonya, Letonya, Lübnan, Litvanya, Karadağ, Portekiz, Romanya, Rusya, Slovenya, İspanya, Türkiye, Ukrayna, Birleşik Krallık ve Amerika Birleşik Devletleri.

Amerika Birleşik Devletleri'nde bir araştırma enstitüsü, iki yanlısı ABD. Raiu, bu saldırıdan etkilenen düşünce kuruluşlarının ve bir sağlık şirketinin etkilendiğini, çünkü kurbanların hiçbirine isim vermeden dedi.

Saldırı, Alev veya Stuxnet kadar sofistike değil, yine de üst düzeydir. Saldırganların nerede çalışabileceğine veya hangi ilgi alanlarına hizmet verebileceğine dair hiçbir belirti yok.

Bu, arka kapı kodlama tarzının, 2008'den beri geçersiz olduğuna inanılan, 29A olarak bilinen bir grup kötü amaçlı yazılım yazarı olduğunu hatırlatıyor. Kodda "666" imzası ve 29A, 666'nın onaltılık temsilidir, dedi.

FireEye tarafından analiz edilen daha önceki saldırılarda kullanılan kötü amaçlı yazılımlarda "666" değeri bulundu, ancak bu tehdit MiniDuke'den farklıydı, Raiu dedi. İki saldırının ilgili olup olmadığı sorusu açık kalıyor.

Bu siber casusluk kampanyası haberi, özellikle ABD’de Çin’deki siber-casusluk tehdidiyle ilgili yeni tartışmaların toparlanmasıyla sonuçlanıyor. güvenlik şirketi Mandiant. Raporda, Mandiant'ın Çin ordusunun gizli bir siberuniti olduğuna inandığı Yorum Ekibi adlı bir grup cyberattackers hakkında ayrıntılı bilgiler yer alıyor. Çin hükümeti iddiaları reddetti, ancak rapor medyada geniş yer kapladı.

Raiu, MiniDuke kurbanlarının şimdiye kadar tespit ettiği hiçbirinin Çin'den olmadığını, ancak bu gerçeğin önemine dair spekülasyon yapmayı reddettiğini söyledi. Geçtiğimiz hafta diğer şirketlerin güvenlik araştırmacıları, Mandiant raporunun kopyaları olarak aynı PDF istismarını dağıtan hedefli saldırıları tespit ettiler.

Bu saldırılar, açıkça Çin kökenli olan kötü amaçlı yazılımlar yüklemişti, Raiu. Ancak, saldırının bu saldırılarda kullanıldığı yol çok kaba ve MiniDuke ile kıyaslandığında kötü amaçlı yazılım kötü niyetliydi, dedi.