“Nowy” backdoor Miniduke’a
Po ujawnieniu Miniduke’a przez Kaspersky Lab w 2013 r. stojące za nim osoby zaczęły używać backdoora własnej produkcji, który potrafił kraść różne rodzaje informacji. Ten szkodliwy program podszywał się pod popularne aplikacje, które z natury działają w tle, i robił to bardzo skutecznie – imitował ikony, nazwy a nawet rozmiary plików.
Główny kod “nowego” backdora Miniduke’a (znanego także pod nazwami TinyBaron oraz CosmicDuke) powstał przy użyciu narzędzia zwanego BotGenStudio, które pozwala na pełne dostosowanie modułów działających w szkodliwym programie. Komponenty te można podzielić na trzy grupy:
1. Uruchamianie
– Miniduke/CosmicDuke może wykorzystywać menedżer zadań systemu Windows do uruchamiania specjalnego narzędzia, które dodaje proces szkodnika do rejestru systemowego. Zagrożenie może być także aktywowane, gdy użytkownika nie ma przy komputerze – wraz z uruchomieniem wygaszacza ekranu.
2. Rekonesans
– szkodliwy program potrafi kraść szereg informacji, łącznie z plikami o określonych rozszerzeniach i słowach kluczowych, takich jak: *.exe; *.ndb; *.mp3; *.avi; *.rar; *.docx; *.url; *.xlsx; *.pptx; *psw*; *pass*; *login*; *admin*; *vpn; *.jpg; *.txt; *.lnk; *.dll; *.tmp. itd.
Backdoor posiada wiele funkcji, łącznie z przechwytywaniem znaków wprowadzanych z klawiatury (keylogger), gromadzeniem ogólnych informacji o sieci, w której działa zainfekowana maszyna, przechwytywaniem zawartości ekranu, wyciąganiem informacji ze schowka i książek adresowych (Windows oraz Microsoft Outlook), kradzieżą haseł z komunikatora Skype i innych narzędzi (Google Chrome, Google Talk, Opera, TheBat!, Firefox, Thunderbird), przeglądaniem zawartości certyfikatów i kluczy prywatnych itd.
3. Ciche wyprowadzenie danych
– szkodnik otwiera kilka połączeń sieciowych, by ukradkowo wysłać wszystkie wykradzione informacje. Wykorzystywane są zarówno połączenia FTP, jak i HTTP.
Kolejną interesującą cechą nowego zagrożenia jest sposób, w jaki przechowywane są skradzione dane. Każdy plik przesyłany do serwera kontrolowanego przez cyberprzestępców jest dzielony na małe fragmenty (o rozmiarze około 3 KB każdy), które z kolei są kompresowane, szyfrowane i umieszczane w specjalnym kontenerze. Jeżeli plik jest bardzo duży, może zostać umieszczony w kilku takich kontenerach, które są kolejno wysyłane do atakujących. Te dodatkowe mechanizmy ochrony transmisji danych sprawiły, że niewielu badaczy jest w stanie dotrzeć do oryginalnych danych.
Unikatowe funkcje szkodliwego programu
Każda ofiara CosmicDuke’a otrzymuje unikatowy identyfikator, ktory pozwala cyberprzestępcom wysyłać spersonalizowane uaktualnienia szkodliwego programu.
Aby chronić się przed wykryciem, CosmicDuke wykorzystuje zaawansowane metody utrudniające analizę kodu przeprowadzaną przez oprogramowanie antywirusowe.
Główne odkrycia
Serwer kontroli – podwójne przeznaczenie.
Podczas analizy eksperci z Kaspersky Lab uzyskali dostęp do kopii jednego z serwerów wykorzystywanych przez cyberprzestępców do kontrolowania CosmicDuke’a (tzw. serwer C&C). Badania wykazały, że był on wykorzystywany nie tylko do zapewnienia komunikacji między atakującymi i zainfekowanymi komputerami, ale także do innych działań, łącznie z włamywaniem się do serwerów funkcjonujących w internecie w celu gromadzenia wszelkich informacji, które mogłyby doprowadzić do kolejnych ofiar. W tym celu serwer C&C został wyposażony w szereg ogólnie dostępnych narzędzi hakerskich.
Ofiary.
Podczas gdy stary wariant Miniduke’a atakował wyłącznie organizacje rządowe, CosmicDuke celuje dodatkowo w organizacje dyplomatyczne, sektor energetyczny, operatorów telekomunikacyjnych, firmy związane z wojskowością, a także osoby zaangażowane w transportowanie i sprzedaż nielegalnych oraz kontrolowanych substancji.
Eksperci z Kaspersky Lab dokonali szczegółowej analizy serwerów wykorzystywanych zarówno w operacji CosmicDuke, jak i Miniduke. W przypadku starszego zagrożenia, atakujący byli zainteresowani celami z Australii, Belgii, Francji, Niemiec, Węgier, Holandii, Hiszpanii, Ukrainy oraz Stanów Zjednoczonych. Przynajmniej w przypadku trzech z tych krajów ofiary należały do sektora rządowego.
Jeden ze zbadanych serwerów CosmicDuke’a posiadał długą listę ofiar (139 unikatowych adresów IP), której tworzenie rozpoczęło się w kwietniu 2012 r. Czołowa dziesiątka atakowanych krajów to: Gruzja, Rosja, Stany Zjednoczone, Wielka Brytania, Kazachstan, Indie, Białoruś, Cypr, Ukraina oraz Litwa. Cyberprzestępcy byli także zainteresowani rozszerzeniem zakresu swojej działalności i skanowali adresy IP przypisane do Azerbejdżanu oraz Grecji.
Platforma komercyjna.
Do najbardziej nietypowej kategorii celów CosmicDuke’a należą osoby zaangażowane w transport i sprzedaż nielegalnych oraz kontrolowanych substancji, takich jak sterydy i hormony. Cele takie zostały wykryte wyłącznie w Rosji.
“To dość nietypowe – zazwyczaj, gdy słyszymy o ataku tego kalibru, spodziewamy się działań inicjowanych przez rządy w celu szpiegowania konkretnych krajów. Widzimy jednak dwie możliwe przyczyny innego podejścia zastosowanego w kampanii CosmicDuke. Jedną z nich może być to, że platforma BotGenStudio, użyta do stworzenia tego szkodliwego kodu, jest także dostępna jako tzw. ‘legalne narzędzie spyware’, takie jak program RCS firmy HackingTeam, który jest aktywnie wykorzystywany przez organy ścigania na całym świecie. Istnieje także możliwość, że narzędzie to jest dostępne w podziemiu i po prostu zostało zakupione przez firmy z branży farmaceutycznej, by szpiegować konkurencję” – powiedział Witalij Kamliuk, główny ekspert ds. bezpieczeństwa z Globalnego Zespołu ds. Badań i Analiz (GReAT), Kaspersky Lab.
Pochodzenie i godziny “pracy”.
Mimo że atakujący używają w kodzie szkodnika języka angielskiego, istnieją przesłanki, które pozwalają sądzić, że cyberprzestępcy zaangażowani w CosmicDuke’a nie pochodzą z żadnego z anglojęzycznych krajów.
Eksperci z Kaspersky Lab ustalili, że osoby stojące za omawianą kampanią są aktywne przede wszystkim w dni robocze, choć zdarza im się okazjonalnie “pracować” w trakcie weekendów. Atakujący działają przede wszystkim w godzinach 8:00 – 21:00 czasu polskiego, jednak większość pracy wykonywana jest między 8:00 a 18:00.