Pesquisadores da
Kaspersky Lab descobriram que os implantes antigos do Miniduke criados
em 2013 ainda estão sendo usados em campanhas ativas que visam
infectar governos e outras entidades. Além disso,
a nova plataforma do Miniduke - BotGenStudio - pode ser usada não
somente em ataques APT, mas por agências policiais e criminosos
tradicionais também.
Embora
o APT Miniduke tenha cessado sua campanha ou pelo menos diminuído sua
intensidade assim que o anuncio de sua existência foi feito pela
Kaspersky Lab e pela CrySyS Lab, no
ano passado, o ataque foi retomado em pleno vigor no início deste ano.
Desta vez, especialistas da Kaspersky Lab notaram mudanças na forma como
os atacantes agem e quais ferramentas usam.
Após
a exposição de 2013, os responsáveis pelos ataques do Miniduke
começaram a usar outro backdoor personalizado, capaz de roubar vários
tipos de informações. O malware simula
aplicativos populares que são projetados para funcionar em segundo
plano, incluindo informações, ícones e até mesmo o tamanho do arquivo.
Características únicas
O "novo" backdoor
do Miniduke (mais conhecido como TinyBaron ou CosmicDuke) é compilado
usando uma estrutura personalizável chamada de BotGenStudio e que tem
flexibilidade para ativar ou desativar componentes
quando o bot é construído. O malware é capaz de roubar uma variedade de
informações. O backdoor também tem muitos outros recursos, incluindo:
keylogger, compilação de informações sobre a rede, captura da tela,
captura da área de transferência; roubo do Microsoft
Outlook, Windows Address Book, de senhas do Skype, Google Chrome,
Google Talk, Opera, TheBat!, Firefox, Thunderbird, capturador de chaves
de Protected Storage, além de exportar certificados ou de chaves
privadas, etc.
O malware
implementa vários conectores de rede para extrair dados, incluindo a
transferência de informações via FTP e três diferentes variantes de
mecanismos de comunicação HTTP. Armazenar dados extraídos
é outra característica interessante do MiniDuke. Quando um arquivo é
enviado para o servidor C&C ele é dividido em pequenos pedaços
(~3kb) que são compactados, criptografados e colocados em um recipiente a
ser enviado para o servidor. Se o arquivo for grande
o suficiente, pode ser colocado em vários recipientes diferentes que
são enviados de forma independente. Todas estas camadas de garantias
adicionais de processamento faz com que poucos pesquisadores sejam
capazes de chegar aos dados originais.
Cada vítima do
MiniDuke é atribuída um ID único que permite que sejam feitas
atualizações específicas para uma vítima individual. Para sua
autoproteção, a praga usa um instalador personalizado ofuscado
que consome recursos da CPU antes de passar a execução para amódulo
principal. Fazendo isso, os criminosos impedem que soluções antimalware
analisem o implante e detectem a funcionalidade maliciosa via emulador.
Esse processo também dificulta a análise do
malware.
C&Cs - duplo propósito.
Durante a análise, os especialistas da Kaspersky Lab foram capazes de
obter uma cópia de um dos servidores de comando e controle (C&C)
do CosmicDuke. Parece que este foi utilizado não só para a comunicação
entre os responsáveis por trás do CosmicDuke e dos PCs infectados, mas
também para outras operações, realizadas por membros do grupo, incluindo
a invasão de outros servidores na Internet
com o objetivo de coletar tudo o que pode levar a alvos potenciais.
Para este efeito, o C&C foi equipado com uma gama de ferramentas de
hacking publicamente disponíveis que buscam vulnerabilidades em sites
usando diferentes motores para assim comprometê-los.
Vitimas.
Curiosamente, enquanto os implantes antigos do Miniduke foram usados
para atingir principalmente as entidades governamentais, os novos
implantes do
CosmicDuke tem uma tipologia diferente de vítimas. Além de governos,
existem organizações diplomáticas, setor de energia, operadores de
telecomunicações, fornecedores militares e pessoas envolvidas no tráfico
e venda de substâncias ilegais e controladas.
Os especialistas
da Kaspersky Lab têm analisado tanto o CosmicDuke quanto servidores
antigos do Miniduke. Por meio deste último os especialistas da Kaspersky
Lab foram capazes de extrair uma lista de vítimas
e de seus respectivos países e, por isso, os especialistas descobriram
que os responsáveis pelo Miniduke atacaram alvos na Austrália, Bélgica,
França, Alemanha, Hungria, Países Baixos, Espanha, Ucrânia e Estados
Unidos. As vítimas, em pelo menos três destes
países, pertencem à categoria "governo".
Um dos servidores
CosmicDuke analisados teve uma longa lista de vítimas (139 IPs únicos) a
partir de abril de 2012. Em termos de distribuição geográfica e de 10
países mais atacados as vítimas pertencem
à Geórgia, Rússia, EUA, Grã-Bretanha, Cazaquistão, Índia, Bielorrússia,
Chipre, Ucrânia e Lituânia. Os criminosos também estavam interessados
em expandir suas operações e escanear faixas de IPs e servidores da
República do Azerbaijão, Grécia e Ucrânia.
Plataforma comercial.
As vítimas mais incomuns descobertas
eram indivíduos que pareciam estar envolvidos no tráfico e revenda de
substâncias controladas e ilegais, como esteroides e hormônios. Essas
vítimas foram observadas apenas na Rússia.
"É um pouco
inesperado - normalmente, quando ouvimos sobre APTS, pensamos que são
campanhas de espionagem cibernética não apoiadas por governos. Mas vemos
duas explicações para isso. Uma possibilidade é
que a plataforma de malware BotGenStudio usada no Miniduke também está
disponível como uma ferramenta"spyware legal", como o RCS da
HackingTeam, amplamente utilizado pela aplicação da lei. Outra
possibilidade é que o malware simplesmente está disponível no
submundo e é comprado por vários concorrentes no negócio farmacêutico
para espionar uns aos outros”, comentou Vitaly Kamluk, principal
pesquisador de segurança no Global Research & Analysis Team da
Kaspersky Lab.
Fonte: Kaspersky
Nenhum comentário:
Postar um comentário