«MiniDuke» espia instituições e governos de todo o mundo

Publicado em 04/03/2013 00:11 em Segurança Informática

A companhia russa de segurança informática Kaspersky anunciou que identificou o novo malware «MiniDuke», que foi utilizado para atacar múltiplas entidades governamentais e instituições de todo o mundo no fim de Fevereiro, incluindo em Portugal.

Em comunicado, a Kaspersky garante que «alvos de elevado perfil», incluindo entidades governamentais, foram comprometidos em Portugal, Bélgica, Irlanda, República Checa, Roménia e Ucrânia.

Acrescenta que foram também atacados um instituto de investigação e um prestador de serviços de saúde nos Estados Unidos e uma instituição de investigação húngara.

Eugene Kaspersky, fundador e CEO da companhia, citado no comunicado, garante que «este é um ciberataque muito excepcional», que usa um estilo de programação que se viu no fim da década de noventa e início do século XXI mas não foi utilizado durante uma década.

«Estes programadores de malware de elite foram extremamente eficazes no passado na criação de vírus altamente complexos e combinam agora essas capacidades com novos e avançados ‘exploits’ capazes de contornar sistemas de ‘sandbox’ e atacar entidades governamentais ou instituições de investigação em vários países», acrescenta.

O CEO da empresa de segurança salienta que «a ‘backdoor’ do ‘MiniDuke’, altamente personalizada, foi escrita em ‘Assembler’ e é muito pequena em tamanho, pesando apenas 20 quilobytes (Kb)».

Eugene Kaspersky sublinha que «a combinação de ‘velhos’ criadores de software malicioso com novas técnicas de ‘exploit’ recentemente descobertas e esquemas de engenharia social inteligente para comprometer alvos de elevado perfil é extremamente perigosa».

A Kaspersky adianta que os atacantes do «MiniDuke» usaram técnicas de engenharia social extremamente eficazes, com envio de documentos pdf maliciosos supostamente de elevada importância, com textos bem trabalhados, contendo informação falsa sobre um suposto seminário de direitos humanos ou dados sobre a política externa da Ucrânia e planos para aderir à NATO.

Os ficheiros pdf maliciosos foram manipulados com «exploits» que atacam as versões 9, 10 e 11 do Adobe Reader, contornando os sistemas de «sandbox». Uma vez explorado o sistema, é deixado no disco da vítima um ficheiro muito pequeno, de 20 Kb, único para cada sistema e escrito em «Assembler», que usa um conjunto de cálculos matemáticos para determinar a impressão digital única do computador, usando estes dados para encriptar as suas comunicações.

É também programado para evitar a análise por um conjunto codificado de ferramentas existentes em certos ambientes, como o VMware. Utiliza contas no Twitter ou, em alternativa, a pesquisa do Google para os dispositivos de envio da informação.

O modelo é flexível e permite aos cibercriminosos modificar constantemente a forma como as suas «backdoors» actuam, em função das necessidades.

O «backdoor» do malware liga-se a dois servidores, um no Panamá e outro na Turquia, para receber instruções dos atacantes.

Ainda sem comentários