Onderzoekers ontdekken nieuwe wereldwijde cyberspionagecampagne

Beveiligingsonderzoekers hebben een voortdurende cyber-spionagecampagne geïdentificeerd die 59 computers van overheidsorganisaties, onderzoeksinstituten, denktanks en privébedrijven uit 23 landen in de afgelopen 10 dagen.

De aanvalscampagne werd ontdekt en geanalyseerd door onderzoekers van beveiligingsbedrijf Kaspersky Lab en het Laboratorium voor Cryptografie en Systeembeveiliging (CrySyS) van de Boedapest University of Technology and Economics.

Dubbed MiniDuke, de aanvalcampagne gebruikte gerichte e-mailberichten - een techniek die bekend staat als spear phishing - die kwaadaardige PDF-bestanden met een recen bevatte niet-gepatchte exploit voor Adobe Reader 9, 10 en 11.

[Meer informatie: hoe u malware van uw Windows-pc verwijdert]

De exploit is oorspronkelijk ontdekt in actieve aanvallen eerder deze maand door beveiligingsonderzoekers van FireEye en is in staat van het omzeilen van de sandbox-bescherming in Adobe Reader 10 en 11. Door Adobe vrijgegeven beveiligingspatches voor de kwetsbaarheden waarop de exploit zich richt op 20 februari.

De nieuwe MiniDuke-aanvallen gebruiken dezelfde exploit als geïdentificeerd door FireEye, maar met enkele geavanceerde wijzigingen, zei Costin Raiu, directeur van het wereldwijde onderzoeks- en analyseteam van Kaspersky Lab, op woensdag. Dit zou kunnen suggereren dat de aanvallers toegang hadden tot de toolkit die werd gebruikt om de oorspronkelijke exploit te maken.

De kwaadwillende PDF-bestanden zijn bedrieglijke kopieën van rapporten met inhoud die relevant is voor de doelorganisaties en bevatten een rapport over de informele bijeenkomst Azië-Europa. (ASEM) seminarie over mensenrechten, een verslag over het actieplan voor het NAVO-lidmaatschap van Oekraïne, een rapport over het regionale buitenlandse beleid van Oekraïne en een rapport over de Armeense Economische Associatie van 2013, en meer.

Als de exploit succesvol is, zullen de frauduleuze PDF-bestanden een stukje malware installeren dat is gecodeerd met informatie die is verzameld uit het getroffen systeem. Deze coderingstechniek werd ook gebruikt in de Gauss cyberspionage-malware en voorkomt dat de malware op een ander systeem wordt geanalyseerd, zei Raiu. Als het op een andere computer wordt uitgevoerd, zal de malware worden uitgevoerd, maar zal het zijn schadelijke functionaliteit niet starten, zei hij.

Een ander interessant aspect van deze bedreiging is dat het slechts 20KB groot is en werd geschreven in Assembler, een methode die zelden wordt gebruikt vandaag door makers van malware. De kleine omvang is ook ongebruikelijk in vergelijking met de omvang van moderne malware, zei Raiu. Dit suggereert dat de programmeurs 'old-school' waren, zei hij.

Het stukje malware dat tijdens deze eerste fase van de aanval is geïnstalleerd, maakt verbinding met specifieke Twitter-accounts die gecodeerde opdrachten bevatten die verwijzen naar vier websites die fungeren als commando-en- controleservers. Deze websites, die worden gehost in de VS, Duitsland, Frankrijk en Zwitserland, hosten gecodeerde GIF-bestanden met een tweede backdoor-programma.

De tweede backdoor is een update van de eerste en maakt verbinding met de command-and-control-servers om nog een backdoor-programma te downloaden dat uniek is ontworpen voor elk slachtoffer. Vanaf woensdag organiseerden de command-and-control-servers vijf verschillende backdoor-programma's voor vijf unieke slachtoffers in Portugal, Oekraïne, Duitsland en België, aldus Raiu. Deze unieke backdoor-programma's verbinden met verschillende command-and-control-servers in Panama of Turkije, en ze laten de aanvallers toe om commando's uit te voeren op de geïnfecteerde systemen.

De mensen achter de MiniDuke cyber-spionagecampagne zijn actief sinds ten minste april 2012, toen een van de speciale Twitter-accounts werd gemaakt, zei Raiu. Het is echter mogelijk dat hun activiteit tot voor kort subtieler was, toen ze besloten gebruik te maken van de nieuwe Adobe Reader-exploit om zo veel mogelijk organisaties te compromitteren voordat de kwetsbaarheden worden hersteld, zei hij.

De malware die wordt gebruikt in de nieuwe aanvallen is uniek en nog niet eerder gezien, dus de groep heeft in het verleden misschien verschillende malware gebruikt, zei Raiu. Gezien het brede scala van doelen en het wereldwijde karakter van de aanvallen, hebben de aanvallers waarschijnlijk een grote agenda, zei hij. < <<<<<<<> <> <> <>> MiniDuke-slachtoffers omvatten organisaties uit België, Brazilië, Bulgarije, Tsjechische Republiek, Georgië, Duitsland, Hongarije, Ierland, Israël, Japan, Letland, Libanon, Litouwen, Montenegro, Portugal, Roemenië, Rusland, Slovenië, Spanje, Turkije, Oekraïne, het Verenigd Koninkrijk en de Verenigde Staten.

In de Verenigde Staten, een onderzoeksinstituut, twee pro-VS denktanks en een zorgverzekeraar zijn getroffen door deze aanval, zei Raiu zonder een van de slachtoffers te noemen.

De aanval is niet zo geavanceerd als Flame of Stuxnet, maar toch is Raiu op hoog niveau. Er zijn geen aanwijzingen over waar de aanvallers van zouden kunnen opereren of welke belangen zij zouden kunnen dienen.

Dat gezegd hebbende, de stijl van coderen van de achterdeur doet denken aan een groep malware-schrijvers die bekend staat als 29A en die naar verluidt sinds 2008 is overleden. "666" -tekening in de code en 29A is de hexadecimale weergave van 666, zei Raiu.

Een "666" -waarde werd ook aangetroffen in de malware die werd gebruikt in de eerdere door FireEye geanalyseerde aanvallen, maar die dreiging was anders dan bij MiniDuke, Raiu zei. De vraag of de twee aanslagen verwant zijn, blijft open.

Nieuws over deze cyberspionagecampagne komt voort uit hernieuwde discussies over de Chinese cyberspionagedreiging, met name in de VS, die werd ingegeven door een recent rapport van beveiligingsbedrijf Mandiant. Het rapport bevat details over de jarenlange activiteit van een groep cyberaanvallen die de Comment Crew wordt genoemd en waarvan Mandiant gelooft dat het een geheime cybereenheid van het Chinese leger is. De Chinese regering heeft de beschuldigingen afgewezen, maar het rapport werd breed in de media behandeld. Raiu zei dat geen van de tot nu toe geïdentificeerde MiniDuke-slachtoffers uit China afkomstig was, maar weigerde te speculeren op de betekenis van dit feit. Vorige week ontdekten beveiligingsonderzoekers van andere bedrijven gerichte aanvallen die dezelfde PDF-exploit verspreidden die zich voordeed als exemplaren van het Mandiant-rapport.

Die aanvallen installeerden malware die duidelijk van Chinese oorsprong was, zei Raiu. Echter, de manier waarop de exploit werd gebruikt in die aanvallen was zeer grof en de malware was ongekunsteld in vergelijking met MiniDuke, zei hij.