חוקרים גילו קמפיין חדש של ריגול סייבר עולמי

חוקרי אבטחה זיהו קמפיין של ריגול סייבר מתמשך, אשר סיכן 59 מחשבים השייכים לארגונים ממשלתיים, מכוני מחקר, צוותי מחקר וחברות פרטיות מ -23 מדינות 10 ימים.

מסע הפרסום התבצע ונותח על ידי חוקרי חברת האבטחה Kaspersky Lab ומעבדת ההצפנה ואבטחת המערכת (CrySyS) של אוניברסיטת בודפשט לטכנולוגיה וכלכלה.

The MiniDuke, השתמשו בהודעות דוא"ל ממוקדות - טכניקה הידועה בשם דיוג חנית - שנשאה קבצי PDF זדוניים עם זיכרונות טלאי תיקן עבור Adobe Reader 9, 10 ו - 11.

[קריאה נוספת: כיצד להסיר תוכנות זדוניות מהמחשב של Windows]

הניצול התגלה במקור בהתקפות אקטיביות מוקדם יותר החודש על ידי חוקרי אבטחה מ FireEye ומסוגל של עקיפת ההגנה על ארגז חול ב- Adobe Reader 10 ו -11. Adobe פרסמה תיקוני אבטחה עבור נקודות התורפה שמטרתן לנצל ב -20 בפברואר.

ההתקפות החדשות של MiniDuke משתמשות באותו ניצול שמזוהה על ידי FireEye, אך עם כמה שינויים מתקדמים, אמר קוסטין ריו, מנהל צוות המחקר והניתוח העולמי של קספרסקי, ביום רביעי. דבר זה עשוי להציע לתוקפים גישה אל ערכת הכלים ששימשה ליצירת הניצול המקורי.

קובצי ה- PDF הזדוניים הם עותקים סוררים של דוחות עם תוכן רלוונטי לארגונים הממוקדים וכוללים דוח על המפגש הלא-רשמי של אסיה-אירופה (ASEM) בסמינר בנושא זכויות אדם, דו"ח על תוכנית הפעולה של נאט"ו לחברות באוקראינה, דו"ח על מדיניות החוץ האזורית של אוקראינה ודוח על האיגוד הכלכלי הארמני לשנת 2013 ועוד.

אם הניצול הצליח, קובצי PDF סוררים להתקין חתיכת תוכנה זדונית מוצפן עם מידע שנאסף מן המערכת המושפעת. טכניקה זו ההצפנה שימש גם גאוס סייבר ריגול תוכנות זדוניות ומונע את תוכנות זדוניות מלהיות מנותח על מערכת אחרת, אמר Raiu. אם יופעל על מחשב אחר, התוכנה הזדונית תבוצע, אבל לא תיזום את הפונקציונליות הזדונית שלו, הוא אומר.

היבט מעניין נוסף של איום זה הוא שזה רק 20KB בגודל ונכתב באסמבלר, שיטה המשמשת לעתים נדירות היום על ידי יוצרי תוכנות זדוניות. גודלו הקטן הוא יוצא דופן גם בהשוואה לגודל של תוכנות זדוניות מודרניות, אמר Raiu. זה אומר שהמתכנתים היו "בית ספר ישן", הוא אומר. [

] פיסת התוכנה הזדונית המותקנת בשלב הראשון של ההתקפה מתחברת לחשבונות טוויטר ספציפיים המכילים פקודות מוצפנות המכוונות לארבעה אתרי אינטרנט הפועלים כפיקוד, שרתי בקרה. אתרים אלה, המתארחים בארה"ב, בגרמניה, בצרפת ובשווייץ, מארחים קבצי GIF מוצפנים המכילים תוכנית אחורית שנייה.

הדלת האחורית השנייה היא עדכון לראשון ומתחברת חזרה לשרתים של הפקודה והבקרה כדי להוריד עוד תוכנית אחורית זה תוכנן במיוחד עבור כל קורבן. נכון להיום, שרתי הפיקוד והבקרה התארחו חמש תוכניות אחוריות שונות עבור חמישה קורבנות ייחודיים בפורטוגל, אוקראינה, גרמניה ובלגיה, אמר Raiu. תוכניות אלה אחורית ייחודית להתחבר לשרתים שונים שליטה ובקרה בפנמה או טורקיה, והם מאפשרים לתוקפים לבצע פקודות על המערכות הנגועות.

האנשים שמאחורי קמפיין הריגול המקוון של MiniDuke פעלו מאז לפחות באפריל 2012, כאשר אחד מחשבונות הטוויטר המיוחדים נוצר לראשונה, אמר ריו. עם זאת, ייתכן שהפעילות שלהם היתה מעודנת יותר עד לאחרונה, כאשר החליטו לנצל את Adobe Reader החדש לנצל כדי להתפשר כמו ארגונים רבים ככל האפשר לפני הפגיעויות לקבל תיקנו, הוא אמר.

התוכנה הזדונית שבה נעשה שימוש בהתקפות החדשות היא ייחודית ולא נראתה קודם לכן, ולכן ייתכן שהקבוצה השתמשה בתוכנות זדוניות שונות בעבר, אמר ריו. על פי מגוון המטרות ואופי הגלובלי של הפיגועים, כנראה שלתוקפים יש אג'נדה גדולה, אמר.

קורבנות MiniDuke כוללים ארגונים מבלגיה, ברזיל, בולגריה, צ'כיה, גרוזיה, גרמניה, הונגריה, אירלנד, ישראל, יפן, לטביה, לבנון, ליטא, מונטנגרו, פורטוגל, רומניה, רוסיה, סלובניה, ספרד, טורקיה, אוקראינה, בריטניה וארצות הברית.

בארצות הברית, מכון מחקר, צוותי הבריאות והחברה הרפואית הושפעו מהתקפה זו, אמר ריו מבלי לנקוב בשמות הקורבנות. [

] ההתקפה אינה מתוחכמת כמו Flame או Stuxnet, אבל היא ברמה גבוהה בכל זאת, אמר Raiu. אין שום אינדיקציות לגבי מקום התקיפה של התוקפים או מה האינטרסים שהם משרתים.

עם זאת, סגנון קידוד הדלת האחורית מזכיר קבוצה של סופרים זדוניים הידועים כ -29 A, האמינו כי הם מנותקים מאז 2008. יש "666" חתימה בקוד ו 29A הוא ייצוג הקסדצימלי של 666, אמר Raiu.

ערך "666" נמצא גם בתוכנות זדוניות בשימוש ההתקפות הקודמות ניתח על ידי FireEye, אבל האיום היה שונה MiniDuke, אמר ריו. השאלה אם שני ההתקפות קשורות נותרה פתוחה.

חדשות על קמפיין זה של ריגול סייבר מגיע בעקבות דיונים מחודשים על איום הריגול הסיני הסיני, במיוחד בארה"ב, המנדט של חברת האבטחה. הדו"ח מכיל פרטים על פעילות של שנים ארוכות של קבוצה של cyberattackers המכונה צוות הערה כי Mandiant מאמין להיות cyberunit סוד של הצבא הסיני. הממשלה הסינית דחתה את הטענות, אבל הדו"ח היה מכוסה בצורה נרחבת בתקשורת. [

] Raiu אמר כי אף אחד מהקורבנות MiniDuke מזוהה עד כה היה מסין, אך סירב השערות על המשמעות של עובדה זו. בשבוע שעבר זיהו חוקרי אבטחה מחברות אחרות תקיפות ממוקדות שהפיצו את אותו מסמך שמנצל את עצמו כמדיניות של דו"ח המנדט.

התקפות אלה הותקנו בתוכנה זדונית שהיתה בבירור ממוצא סיני, אמר ריו. עם זאת, הדרך שבה ניצול שימש בהתקפות אלה היה גס מאוד את תוכנות זדוניות היה מתוחכם בהשוואה MiniDuke, הוא אמר.