alerta - Lança Palavra

ALERTA
Kaspersky Lab Identifica 'MiniDuke', um novo programa malicioso criado
para espiar múltiplas entidades governamentais e instituições em todo o
Mundo
Os novos atacantes combinam técnicas de criação de malware já conhecidas com novos e
avançados Exploits para o Adobe Reader, de forma a conseguirem deitar a mão a
informação geopolítica privilegiada junto de alvos de elevado perfil
Lisboa, 27 de Fevereiro de 2013. Hoje a equipa de peritos da Kaspersky Lab publica um novo
relatório de investigação a uma série de incidentes de segurança que implicaram o uso de um
exploit no PDF do Adobe Reader (CVE-2013-6040) e um novo e altamente personalizado
programa malicioso conhecido como MiniDuke. A “backdoor” do MiniDuke foi usada para atacar
múltiplas entidades governamentais e instituições no mundo inteiro durante a semana passada. Os
peritos da Kaspersky Lab, em parceria com a CrySys Lab, analisaram os ataques detalhadamente
e publicam agora as suas conclusões.
De acordo com a análise da Kaspersky Lab, um número de alvos de elevado perfil foram já
comprometidos pelos ataques do MiniDuke, inclusive entidades governamentais em Portugal,
Ucrânia, Bélgica, Roménia, República Checa e Irlanda. Além disso, um instituto de investigação,
dois “think tanks” e um prestador de serviços de saúde nos Estados Unidos também foram
atacados, assim como foi uma fundação de pesquisa proeminente na Hungria.
“Este é um ciberataque muito excepcional,” disse Eugene Kaspersky, Fundador e CEO da
Kaspersky Lab. “Lembro-me deste estilo de programação maliciosa do final dos anos 1990 e início
dos anos 2000. E questiono-me se este tipo de programadores de malware, que estiveram
‘hibernados’ durante mais de uma década, terão subitamente despertado e juntado às fileiras do
sofisticado grupo de cibercriminosos actualmente activo no cibermundo.
Estes programadores de malware de elite foram extremamente eficazes no passado na criação de
vírus altamente complexos, e combinam agora essas habilidades com novos e avançados exploits
capazes de contornar sistemas de sandbox, de forma a atacar entidades governamentais ou
instituições de investigação em vários países. ”
“A backdoor do MiniDuke, altamente personalizada, foi escrita em Assembler e é muito pequena
em tamanho, pesando apenas 20 KB” acrescentou Eugene Kaspersky. A combinação de “velhos”
criadores de malware com novas técnicas de exploit recentemente descobertas e esquemas de
engenharia social inteligente para comprometer alvos de elevado perfil é extremamente perigosa. ”
As principais conclusões da Kaspersky Lab:
•
Os atacantes do MiniDuke estão ainda activos e continuaram a criar malware até há muito
pouco tempo - no passado dia 20 de Fevereiro de 2013 ainda o faziam. Para comprometer
as suas vítimas, os atacantes usaram técnicas de engenharia social extremamente
eficazes, que implicaram o envio de documentos PDF maliciosos aos seus alvos. Os PDFs
eram de elevada importância - com conteúdos bem trabalhados, contendo informação falsa
sobre um suposto seminário dedicado aos direitos humanos (ASEM), bem como dados
sobre a política externa da Ucrânia e planos de adesão à NATO. Estes ficheiros PDF
maliciosos foram manipulados de forma fraudulenta com exploits que atacam as versões 9,
10 e 11 do Adobe Reader, contornando os sistemas de ‘sandbox’. Um ‘toolkit’ foi usado
para criar estes exploits e parece ser o mesmo que esteve na origem do ataque recente
reportado pela FireEye. Contudo, os exploits usados no MiniDuke tinham diferentes
objectivos e continham o seu próprio malware personalizado.
•
Uma vez explorado o sistema, um downloader muito pequeno é deixado no disco da vítima,
tendo apenas 20 KB. Este downloader é único por sistema e contém uma backdoor escrita
em Assembler. Quando carregado no arranque do sistema, o downloader usa um conjunto
de cálculos matemáticos para determinar a impressão digital única do computador, usando
estes dados para encriptar depois as suas comunicações. Também é programado para
evitar a análise por o conjunto codificado de ferramentas existente em certos ambientes,
como VMware. Se se depara com algum desses indicadores, o malware “esconde-se” no
sistema em vez de avançar para outra etapa e expor assim a sua funcionalidade; isto indica
que os escritores malware sabem exactamente o que os antivírus e profissionais de
segurança TI estão a fazer para analisar e identificar o malware.
•
Se o sistema do alvo corresponder aos requisitos predefinidos, o malware usa o Twitter
(sem conhecimento do utilizador) e começa a procurar tweets específicos de contas préconfiguradas. Estas contas foram criadas pelos operadores de Command and Control (C2)
do MiniDuke, e os tweets mantêm tags específicas com etiquetas de URLs encriptadas para
as backdoors. Estas URLs abrem as portas aos C2s, que depois emitem comandos e
transferências encriptadas de backdoors adicionais para o sistema, através de ficheiros GIF.
•
Com base nesta análise, ao que tudo indica os criadores do MiniDuke proporcionam um
sistema de backup dinâmico que também pode passar sem ser detectado. Se o Twitter não
estiver a funcionar ou as contas estiverem em baixo, o malware pode usar também a
Pesquisa do Google para encontrar as correntes encriptadas para o C2 seguinte. Este
modelo é flexível e permite aos operadores modificar constantemente a forma como as suas
backdoors recuperam ordens ou código malicioso à medida das necessidades.
•
Assim que o sistema infectado localiza o C2, recebe backdoors encriptadas que são
escondidas dentro de ficheiros GIF e disfarçadas como fotos que aparecem na máquina da
vítima. Assim que são descarregados na máquina, passam a ser capazes de fazer o
download de uma backdoor maior que executa várias acções básicas, como copiar
ficheiros, mover ficheiros, apagar ficheiros, criar directórios, interromper processos e,
naturalmente, carregar e executar novo malware.
•
A backdoor do malware liga-se a dois servidores, um no Panamá e um na Turquia, para
receber instruções dos atacantes.
Para ler a análise completa da Kaspersky Lab e as recomendações sobre como se proteger contra o
MiniDuke, visite por favor a Securelist.
Para ler o relatório da CrySys Lab, por favor visite a seguinte página.
Os sistemas da Kaspersky Lab detectam e neutralizam o malware MiniDuke, classificado como
HEUR:Backdoor.Win32.MiniDuke.gen e Backdoor.Win32.Miniduke.A Kaspersky Lab também
detecta os exploits usados nos documentos PDF, classificados como Exploit.JS.Pdfka.giy.
Se necessitar de mais informação, pode aceder à nossa sala de imprensa online, o Kaspersky Lab Newsroom Portugal
(http://newsroom.kaspersky.eu/pt/), disponível para todos os jornalistas. A sala de imprensa está desenhada
explicitamente para facilitar aos jornalistas a localização de informação de produto e corporativa, notícias e dados,
artigos, imagens, vídeos e ficheiros de áudio.
Kaspersky Lab
A Kaspersky Lab é o maior fabricante privado do mundo de soluções de protecção endpoint. A companhia
encontra-se entre os quatro maiores fabricantes do mundo de soluções endpoint*. Ao longo dos seus mais de
15 anos de história, a Kaspersky Lab tem sido sempre uma referência de inovação em segurança TI e
oferece soluções eficazes para grandes empresas, PMEs e consumidores. A Kaspersky Lab, cuja companhia
proprietária se encontra registada no Reino Unido, opera hoje em mais de 200 países e territórios em todo o
mundo, proporcionando protecção a mais de 300 milhões de utilizadores. Saiba mais em www.kaspersky.pt.
* A empresa foi classificada na quarta posição no ranking da IDC “Worldwide Endpoint Security Revenue by
Vendor, 2011”. Esta classificação foi publicada no relatório da IDC "Worldwide Endpoint Security 2012–2016
Forecast and 2011 Vendor Shares (IDC #235930, July 2012)”. O ranking lista os fabricantes de software de
acordo com as suas receitas provenientes da venda de soluções de segurança endpoint em 2011.
Para mais informações, contacte:
LANÇA PALAVRA
Ana Margarida Paula
Tel. +351 962543653
Fax +351 243372981
Email [email protected]
©
Kaspersky Lab Iberia
Vanessa González
Directora de Comunicação
Tel. +34 91 398 37 52
Email [email protected]
2013 Kaspersky Lab. A informação contida pode ser sujeita a mudanças sem aviso prévio. As únicas garantias dos produtos e serviços
da Kaspersky Lab estão definidas de agora em diante nas declarações de garantia expressa que acompanham estes produtos e
serviços. Nada do que aqui se expressa pode ser interpretado como garantia adicional. A Kaspersky Lab não se responsabiliza por erros
técnicos ou editoriais ou omissões cometidos no texto.