I ricercatori scoprono una nuova campagna di spionaggio globale

I ricercatori di sicurezza hanno identificato una campagna di cyber-spionaggio in corso che ha compromesso 59 computer appartenenti a organizzazioni governative, istituti di ricerca, think tank e società private di 23 paesi nel ultimi 10 giorni.

La campagna di attacco è stata scoperta e analizzata dai ricercatori della società di sicurezza Kaspersky Lab e dal Laboratorio di crittografia e sicurezza dei sistemi (CrySyS) dell'Università di Tecnologia ed Economia di Budapest.

Soprannominato MiniDuke, la campagna di attacco utilizzava messaggi e-mail mirati - una tecnica nota come spear phishing - che trasportava file PDF dannosi truccati con un recen exploit con patch corretti per Adobe Reader 9, 10 e 11.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

L'exploit è stato originariamente scoperto in attacchi attivi all'inizio di questo mese dai ricercatori di sicurezza di FireEye ed è capace di bypassare la protezione sandbox in Adobe Reader 10 e 11. Adobe ha rilasciato patch di sicurezza per le vulnerabilità colpite dall'exploit il 20 febbraio.

I nuovi attacchi MiniDuke utilizzano lo stesso exploit identificato da FireEye, ma con alcune modifiche avanzate, ha detto Costin Raiu, direttore del team di ricerca e analisi globale di Kaspersky Lab, mercoledì. Ciò potrebbe suggerire che gli hacker avessero accesso al toolkit utilizzato per creare l'exploit originale.

I file PDF dannosi sono copie non autorizzate di report con contenuti pertinenti per le organizzazioni interessate e includono un report sull'Incontro informale Asia-Europa (ASEM) seminario sui diritti umani, una relazione sul piano d'azione per l'adesione alla NATO in Ucraina, un rapporto sulla politica estera dell'Ucraina e una relazione sull'associazione economica armena del 2013, e altro ancora.

Se l'exploit ha successo, i file PDF canaglia installa un pezzo di malware crittografato con le informazioni raccolte dal sistema interessato. Questa tecnica di crittografia è stata utilizzata anche nel malware di spionaggio informatico di Gauss e impedisce che il malware venga analizzato su un sistema diverso, ha detto Raiu. Se eseguito su un altro computer, il malware verrà eseguito, ma non avvierà la sua funzionalità dannosa, ha detto.

Un altro aspetto interessante di questa minaccia è che ha solo 20 KB di dimensione ed è stato scritto in Assembler, un metodo usato raramente oggi dai creatori di malware. Le sue dimensioni ridotte sono anche insolite se confrontate con le dimensioni del malware moderno, ha detto Raiu. Ciò suggerisce che i programmatori erano "vecchia scuola", ha detto.

Il pezzo di malware installato durante questa prima fase dell'attacco si collega a specifici account Twitter che contengono comandi crittografati che puntano a quattro siti Web che fungono da comandi e server di controllo. Questi siti Web, che sono ospitati negli Stati Uniti, Germania, Francia e Svizzera, ospitano file GIF crittografati che contengono un secondo programma backdoor.

La seconda backdoor è un aggiornamento al primo e si connette ai server command-and-control per scaricare ancora un altro programma backdoor che è progettato in modo univoco per ogni vittima. A partire da mercoledì, i server di comando e controllo hanno ospitato cinque diversi programmi backdoor per cinque vittime uniche in Portogallo, Ucraina, Germania e Belgio, ha detto Raiu. Questi unici programmi backdoor si connettono a diversi server di comando e controllo a Panama o in Turchia e permettono agli aggressori di eseguire comandi sui sistemi infetti.

Le persone dietro la campagna di cyber-spionaggio di MiniDuke hanno operato almeno da aprile 2012, quando uno degli account speciali di Twitter è stato creato per la prima volta, ha detto Raiu. Tuttavia, è possibile che la loro attività sia stata più sottile fino a poco tempo fa, quando hanno deciso di sfruttare il nuovo exploit di Adobe Reader per compromettere il maggior numero possibile di organizzazioni prima che le vulnerabilità venissero corrette, ha detto.

Il malware utilizzato nei nuovi attacchi è unico e non è mai stato visto prima, quindi il gruppo potrebbe aver usato malware diversi in passato, ha detto Raiu. A giudicare dall'ampia gamma di obiettivi e dalla natura globale degli attacchi, gli aggressori hanno probabilmente un vasto programma, ha detto.

Le vittime di MiniDuke includono organizzazioni provenienti da Belgio, Brasile, Bulgaria, Repubblica Ceca, Georgia, Germania, Ungheria, Irlanda, Israele, Giappone, Lettonia, Libano, Lituania, Montenegro, Portogallo, Romania, Russia, Slovenia, Spagna, Turchia, Ucraina, Regno Unito e Stati Uniti.

Negli Stati Uniti, un istituto di ricerca, due pro-USA think tank e un'azienda sanitaria sono stati colpiti da questo attacco, ha detto Raiu senza nominare nessuna delle vittime.

L'attacco non è sofisticato come Flame o Stuxnet, ma è comunque di alto livello, ha detto Raiu. Non ci sono indicazioni su dove gli hacker potrebbero operare o quali interessi potrebbero servire.

Detto questo, lo stile di codifica backdoor ricorda un gruppo di autori di malware noti come 29A, che si ritiene siano in disuso dal 2008. C'è un "666" firma nel codice e 29A è la rappresentazione esadecimale di 666, ha detto Raiu.

Un valore "666" è stato trovato anche nel malware usato negli attacchi precedenti analizzati da FireEye, ma quella minaccia era diversa da MiniDuke, Ha detto Raiu. Rimane aperta la questione se i due attacchi siano collegati.

Le notizie di questa campagna di cyber-spionaggio si verificano a seguito di rinnovate discussioni sulla minaccia di cyber-spionaggio cinese, in particolare negli Stati Uniti, che sono state suggerite da un recente rapporto di società di sicurezza Mandiant. Il rapporto contiene dettagli sull'attività durata anni di un gruppo di cyberattacchieri soprannominato Comment Crew che Mandiant crede essere una cyber-unit segreta dell'esercito cinese. Il governo cinese ha respinto le accuse, ma il rapporto è stato ampiamente trattato dai media.

Raiu ha dichiarato che nessuna delle vittime MiniDuke identificate finora è stata dalla Cina, ma ha rifiutato di speculare sul significato di questo fatto. La scorsa settimana alcuni ricercatori di sicurezza di altre società hanno identificato attacchi mirati che hanno distribuito lo stesso exploit PDF mascherato da copie del rapporto Mandiant.

Quegli attacchi hanno installato malware che erano chiaramente di origine cinese, ha detto Raiu. Tuttavia, il modo in cui l'exploit è stato utilizzato in quegli attacchi è stato molto grezzo e il malware non era sofisticato rispetto a MiniDuke, ha affermato.