Forskare upptäcker en ny global cyberspionage-kampanj

Säkerhetsforskare har identifierat en pågående cyberspionagekampanj som komprometterade 59 datorer som tillhör statliga organisationer, forskningsinstitut, tanktankar och privata företag från 23 länder i senaste 10 dagarna.

Anfallskampanjen upptäcktes och analyserades av forskare från säkerhetsföretaget Kaspersky Lab och Cryptography and System Security (CrySyS) vid Budapests tekniska högskola.

Dubbed MiniDuke, angreppskampanjen Använda riktade e-postmeddelanden - en teknik som kallas spjutfiskning - som utför skadliga PDF-filer som är riggade med en recen Tly patched exploit för Adobe Reader 9, 10 och 11.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows PC]

Utnyttjandet upptäcktes ursprungligen i aktiva attacker tidigare i månaden av säkerhetsforskare från FireEye och har kapacitet av omkörning av sandlåsbeskydd i Adobe Reader 10 och 11. Adobe släppte säkerhetsskorrigeringar för de sårbarheter som användes den 20 februari.

De nya MiniDuke-attackerna använder samma exploatering som identifierats av FireEye, men med några avancerade ändringar Costin Raiu, chef för Kaspersky Labs globala forsknings- och analysgrupp, på onsdag. Detta kan tyder på att angriparna hade tillgång till verktyget som användes för att skapa det ursprungliga utnyttjandet.

De skadliga PDF-filerna är skurna kopior av rapporter med innehåll som är relevanta för de riktade organisationerna och innehåller en rapport om det informella Asien-Europa mötet (ASEM) seminarium om mänskliga rättigheter, en rapport om Ukrainas handlingsplan för Nato-medlemskapet, en rapport om Ukrainas regionala utrikespolitik och en rapport om Armeniens ekonomiska ekonomiska sammanslutning 2013 och mer.

Om exploateringen lyckas, är de skurna PDF-filerna installera en del skadlig kod som är krypterad med information som samlats in från det berörda systemet. Denna krypteringsteknik användes också i malware i Gauss cyber-spionage och förhindrar att malware analyseras på ett annat system, sade Raiu. Om det körs på en annan dator, kommer skadlig programvara att köras, men kommer inte att initiera sin skadliga funktionalitet, sade han.

En annan intressant aspekt av detta hot är att det bara är 20 KB i storlek och skrivet i Assembler, en metod som sällan används idag av malware skapare. Dess lilla storlek är också ovanlig jämfört med storleken på modern malware, sa Raiu. Det här föreslår att programmerarna var "old school", sa han.

Den del av skadlig programvara som installerades under den här första etappen av attacken kopplas till specifika Twitter-konton som innehåller krypterade kommandon som pekar på fyra webbplatser som fungerar som kommando-och- kontrollservrar. Dessa webbplatser, som är värd i USA, Tyskland, Frankrike och Schweiz, är värd krypterade GIF-filer som innehåller ett andra bakdörrsprogram.

Den andra bakdörren är en uppdatering till den första och kopplar tillbaka till kommando- och kontrollservrarna att ladda ner ännu ett bakåtprogram som är unikt utformat för varje offer. Från och med onsdagen hade kommandot och kontrollservrarna fem olika bakdörrsprogram för fem unika offer i Portugal, Ukraina, Tyskland och Belgien. Raiu sa. Dessa unika bakdörrsprogram kopplas till olika kommando- och kontrollservrar i Panama eller Turkiet, och de tillåter attackerna att utföra kommandon på de infekterade systemen.

Människorna bakom MiniDuke cyberspionage-kampanjen har funnits sedan minst april 2012 när en av de speciella Twitter-konton skapades först, sa Raiu. Det är dock möjligt att deras verksamhet var mer subtil tills nyligen, när de bestämde sig för att utnyttja det nya Adobe Reader-utnyttjandet för att kompromissa så många organisationer som möjligt innan sårbarheterna lappas, sa han.

Den skadliga programvaran som används i de nya attackerna är unik och har inte sett tidigare, så gruppen kan ha använt olika skadliga program tidigare, sa Raiu. Dommar på grund av det breda utbudet av mål och attackernas globala karaktär, har attackerna troligen en stor agenda, sa han.

MiniDuke-offer inkluderar organisationer från Belgien, Brasilien, Bulgarien, Tjeckien, Georgien, Tyskland, Ungern, Irland Israel, Japan, Lettland, Libanon, Litauen, Montenegro, Portugal, Rumänien, Ryssland, Slovenien, Spanien, Turkiet, Ukraina, Förenade kungariket och Förenta staterna.

I Förenta staterna, ett forskningsinstitut, två pro USA tankesmedjor och ett hälsovårdsföretag har blivit drabbade av denna attack, sade Raiu utan att namnge något av offren.

Angreppet är inte så sofistikerat som Flame eller Stuxnet, men är hög nivå trots det, sade Raiu. Det finns inga indikationer på var attackerna kan fungera från eller vilka intressen de skulle kunna betjäna.

Med detta sagt, tyder bakdörrskodningsstilen på en grupp malware-författare som kallas 29A, som tros vara defunct sedan 2008. Det finns en "666" signatur i koden och 29A är den hexadecimala representationen av 666, sade Raiu.

Ett "666" -värde hittades också i skadlig programvara som användes vid tidigare attacker analyserade av FireEye, men det hotet skilde sig från MiniDuke, Raiu sa. Frågan om de två attackerna är relaterade förblir öppna.

Nyheter om den här cyberspionagekampanjen kommer på hängen av förnyade diskussioner om det kinesiska cyberspionagehotet, särskilt i USA, som föranleddes av en ny rapport från säkerhetsföretaget Mandiant. Rapporten innehåller detaljer om den år långa aktiviteten hos en grupp cyberattackers som kallas kommentaren Crew som Mandiant anser vara en hemlig cyberunit av den kinesiska armén. Den kinesiska regeringen har avskedat påståendena, men rapporten var omfattande i media.

Raiu sa att inget av de MiniDuke-offer som hittills hittades var från Kina, men nekade att spekulera om betydelsen av detta faktum. I förra veckan identifierade säkerhetsforskare från andra företag riktade attacker som distribuerade samma PDF-exploiterande masquerad som kopior av Mandiant-rapporten.

Dessa attacker installerade skadlig kod som tydligt var av kinesiskt ursprung, sade Raiu. Men det sätt på vilket exploateringen användes i dessa attacker var väldigt rå och malware var osofistikerad jämfört med MiniDuke, sa han.