Troianul MiniDuke, descoperit de cercetătorii Kaspersky în 2013 şi care a atacat și instituțiile guvernamentale din Romania, este în continuare activ și este utilizat în campanii noi, care vizează atât agenții guvernamentale cât și alte instituții. Noua platformă MiniDuke – BotGenStudio – ar putea fi folosită nu numai de atacatori APT, ci și de organismele de aplicare a legii, sau de către infractori.
Deși actorul din spatele MiniDuke APT și-a oprit campania sau cel puțin i-a diminuat activitatea în urma anunțului făcut de Kaspersky Lab împreună cu partenerul său CrySyS Lab anul trecut, la începutul anului 2014 acesta a reînceput atacurile în forță. De această dată, experții Kaspersky Lab au observat modificări în modul de atac și în ceea ce priveşte instrumentele utilizate.
După expunerea din anul 2013, actorul din spatele MiniDuke a început să utilizeze un alt troian, capabil să sustragă mai multe tipuri de informații. Malware-ul emulează aplicații populare care sunt construite pentru a rula în fundal, imitând inclusiv icon-urile și dimensiunile fișierelor.
Caracteristici unice
„Noul” MiniDuke (cunoscut și ca “TinyBaron” sau “CosmicDuke”) este compilat cu un framework personalizabil, numit BotGenStudio. Acesta este foarte flexibil şi are o arhitectură modulară. Malware-ul este capabil să sustragă o varietate de informații, cum ar fi date generale despre rețea, capturi de ecran, date din clipboard, date din Microsoft Outlook și Windows Address Book, parole din Skype, Google Chrome, Google Talk, Opera, The Bat!, Firefox, Thunderbird, informații din Protected Storage, Certificate/chei private și parole introduse prin tastatură.
Stocarea datelor sustrase este o altă caracteristică interesantă a MiniDuke. Când un fișier este încărcat pe server-ul de comandă și control, acesta este împărțit în mai multe segmente de mici dimensiuni (~3kb), care sunt comprimate, criptate și introduse într-un container, pentru a fi plasate pe server. Dacă fișierul este suficient de mare, acesta poate fi plasat în mai multe containere care sunt încărcate independent. Aceste procesări adiționale garantează că foarte puțini analiști vor fi capabili să ajungă la informațiile originale.
Fiecare victimă a MiniDuke primește o identitate unică – identitate care permite atacatorilor să trimită actualizări personalizate și să mențină tot timpul o bază de date cu ce informații au fost extrase, de la cine și când. Pentru a se proteja, MiniDuke utilizează un program de compresie care folosește intensiv resursele CPU-ului înainte de a executa codul malițios. Astfel, se împiedică analiza implantului și detectarea fișierelor periculoase de către soluțiile antimalware care folosesc un emulator. De asemenea, acest lucru face mai dificilă analiza malware-ului.
Serverele de control şi comandă cu dublă utilitate
În timpul analizei, experții Kaspersky Lab au reușit să obțină o copie a unui server de comandă și control al CosmicDuke. Se pare că acesta nu era utilizat doar pentru comunicarea dintre persoanele aflate în spatele CosmicDuke și PC-urile infectate, dar și pentru alte operațiuni ale membrilor precum accesarea unor alte servere de pe Internet cu scopul de a colecta informații care pot conduce la noi potențiale ținte. Server-ul de comandă și control identificat conținea și o serie de instrumente publice de hacking pentru a căuta vulnerabilitățile site-urilor și pentru a le compromite.
Victimele
În timp ce implanturile anterioare MiniDuke vizau mai ales entități guvernamentale, implanturile noi CosmicDuke urmăresc și alte tipuri de victime. Pe lângă agențiile guvernamentale, se află și organizațiile diplomatice, sectorul de energie, operatorii telecom, furnizorii de armament precum și persoanele implicate în traficul și vânzarea de substanțe ilegale și cu distribuție controlată.
Experții Kaspersky Lab au analizat atât serverele CosmicDuke cât și MiniDuke. Din acestea din urmă, specialiștii Kaspersky Lab au reușit să extragă o listă de victime și țările lor de origine și au descoperit că utilizatorii serverelor vechiului MiniDuke ținteau entități din Australia, Belgia, Franța, Germania, Ungaria, Olanda, Spania, Ucraina şi SUA. Victimele din cel puțin trei dintre aceste țări fac parte din sectorul guvernamental.
Unul dintre serverele CosmicDuke analizate conținea o listă mai lungă de victime (139 de IP-uri unice) începând cu aprilie 2012. Cele mai multe victime erau localizate în Georgia, Rusia, SUA, Marea Britanie, Kazakhstan, India, Belarus, Cipru, Ucraina, Lituania. Atacatorii erau interesați şi de expansiunea operațiunilor și scanau IP-uri din Republica Azerbaidjan, Grecia și Ucraina.
Platforma comercială
Cele mai neobișnuite victime descoperite au fost indivizi care păreau a fi implicați în traficul și revânzarea substanțelor ilegale și cu distribuție controlată, precum steroizi și hormoni. Aceste victime au fost descoperite doar în Rusia.
„Este puțin neașteptat – în mod normal, atunci când auzim de APT, ne gândim că sunt campanii de spoinaj cibernetic susţinute de diferite state,” afirmă Vitaly Kamluk, Principal Security Researcher la Global Research & Analysis Team din cadrul Kaspersky Lab. „Dar putem găsi două explicații pentru această situaţie. O posibilitate este faptul că platforma malware BotGenStudio utilizată de MiniDuke este folosită și ca instrument de spyware legal, precum RCS al HackingTeam, utilizat de organismele de aplicare a legii. O altă posibilitate este faptul că această platformă este disponibilă pe canale neoficiale și poate fi achiziționată de mai mulți competitori din industria farmaceutică pentru a se spiona reciproc”, încheie Vitaly Kamluk.