Вредоносная программа MiniDuke распространялась при помощи недавно обнаруженного эксплойта для Adobe Reader (CVE -2013-6040). По данным исследования, проведенного «Лабораторией Касперского» совместно с венгерской компанией CrySys Lab, среди жертв кибершпионской программы MiniDuke оказались государственные учреждения Украины, Бельгии, Португалии, Румынии, Чехии и Ирландии. Кроме того, от действий киберпреступников пострадали исследовательский институт, два научно-исследовательских центра и медицинское учреждение в США, а также исследовательский фонд в Венгрии.
«Это очень необычная кибератака, — поясняет Евгений Касперский, генеральный директор «Лаборатории Касперского». — Я хорошо помню, что подобный стиль программирования в вредоносном ПО использовался в конце 1990-х — начале 2000-х. Пока не очень понятно, почему эти вирусописатели «проснулись» через 10 лет и присоединились к «продвинутым» киберпреступникам. Эти элитные писатели вредоносных программ старой закалки, успешные в создании сложных вирусов, сейчас совмещают свои способности с новыми методами ухода от защитных технологий для того, чтобы атаковать государственные учреждения и научные организации в разных странах».
«Созданный специально для этих атак бэкдор MiniDuke написан на Ассемблере и чрезвычайно мал — всего 20 Кб, — добавляет Евгений Касперский. — Сочетание опыта «олдскульных» вирусописателей с новейшими эксплойтами и хитрыми приемами социальной инженерии — крайне опасная смесь».
В ходе исследования эксперты «Лаборатории Касперского» пришли к следующим выводам:
1) Авторы MiniDuke до сих пор продолжают свою активность, последний раз они модифицировали вредоносную программу 20 февраля 2013 года. Для проникновения в системы жертв киберпреступники использовали эффективные приемы социальной инженерии, с помощью которых рассылали вредоносные PDF-документы. Эти документы представляли собой актуальный и хорошо подобранный набор сфабрикованного контента. В частности, они содержали информацию о семинаре по правам человека (ASEM), данные о внешней политике Украины, а также планы стран-участниц НАТО. Все эти документы содержали эксплойты, атакующие 9, 10 и 11 версии программы Adobe Reader. Для создания этих эксплойтов был использован тот же инструментарий, что и при недавних атаках, о которых сообщала компания FireEye. Однако в составе MiniDuke эти эксплойты использовались для других целей и содержали собственный вредоносный код.
2) При заражении системы на диск жертвы попадал небольшой загрузчик, размером всего 20 Кб. Он уникален для каждой системы и содержит бэкдор, написанный на Ассемблере. Кроме того, он умеет ускользать от инструментов анализа системы, встроенных в некоторые среды, в частности, в VMWare . В случае обнаружения одного из них бэкдор приостанавливал свою деятельность с тем, чтобы скрыть свое присутствие в системе. Это говорит о том, что авторы вредоносной программы имеют четкое представление о методах работы антивирусных компаний.
3) Если атакуемая система соответствует заданным требованиям, вредоносная программа будет (втайне от пользователя) использовать Twitter для поиска специальных твитов от заранее созданных аккаунтов. Эти аккаунты были созданы операторами бэкдора MiniDuke, а твиты от них поддерживают специфические тэги, маркирующие зашифрованные URL-адреса для бэкдора. Эти URL-адреса предоставляют доступ к серверам управления, которые, в свою очередь, обеспечивают выполнение команд и установку бэкдоров на зараженную систему через GIF-файлы.
4) По результатам анализа стало известно, что создатели MiniDuke используют динамическую резервную систему коммуникации, которая также может ускользать от антивирусных средств защиты — если Twitter не работает или аккаунты неактивны, вредоносная программа может использовать Google Search для того чтобы найти зашифрованные ссылки к новым серверам управления.
5) Как только зараженная система устанавливает соединение с сервером управления, она начинает получать зашифрованные бэкдоры через GIF-файлы, которые маскируются под картинки на компьютере жертвы. После загрузки на машину, эти бэкдоры могут выполнять несколько базовых действий: копировать, перемещать или удалять файлы, создавать каталоги, останавливать процессы и, конечно, загружать и исполнять новые вредоносные программы.
6) Бэкдор выходит на связь с двумя серверами — в Панаме и Турции, — для того чтобы получить инструкции от киберпреступников.