MiniDuke ukierunkowany w rząd Ukrainy

Dokładnie rok temu odkryto malware MiniDuke, który brał udział w kampanii przeciwko rządom władz europejskich. W tym tygodniu ponownie pojawiły się doniesienia, że złośliwy program rozprowadzany jest w postaci dokumentów PDF związanymi treścią z Ukrainą – jeden z nich nigdy nie został upubliczniony.

Po pierwszym pojawieniu się zagrożenia MiniDuke stwierdzono, że podejście do jego stworzenia jest dość dziwaczne, a zarazem zaawansowane, bowiem zagrożenie to zostało napisane w Asemblerze, co pozwala na stworzenie pliku o małym rozmiarze, a co za tym idzie podejrzenie zagrożenia w takim pliku jest minimalne.  Stwierdzono więc, że zagrożenie musiało zostać stworzone przez profesjonalistę i ukierunkowane jest na komputery rządowe.

Mimo, że szczegóły techniczne dotyczące zagrożenia są zaawansowane, to w celu jego „wdrożenia” wymagane jest działanie socjotechniczne polegające na przekonaniu ofiary do otworzenia dokumentu PDF, chociażby jako oficjalny dokument rządowy wysłany za pomocą wiadomości e-mail lub umieszczając go na dysku USB. W obu tych przypadkach zadanie atakującego polega na przeprowadzeniu tajnej infiltracji zakończonej powodzeniem, bez jakichkolwiek podejrzeń.

Dla twórców szkodliwego oprogramowania próba zainfekowania komputera rządowego pracownika jest niełatwe, ale w przypadku powodzenia ogromny sukces jest murowany. W większości przypadków zadanie takie jest specjalnie przygotowywane pod konkretnego użytkownika. Oczywiście większość rządów stosuje praktykę rygorystycznych zabezpieczeń systemów, w tym większość pracowników jest przeszkolona w kierunku nieodbierania podejrzanych wiadomości poczty elektronicznej. Jednak ataki tego typu nadal się udają, co sprawia, że MiniDuke otrzymał nowe wcielenie.

Złośliwe oprogramowanie wywołało zaniepokojenie, ponieważ źródło sfałszowanego dokumentu PDF wykryto na Ukrainie. Większość dokumentów została zebrana z publicznie dostępnych źródeł i zawierają informacje do kogo zostały wysłane. Jednak jeden z dokumentów jest szczególny, bowiem zawiera podpis Rusłana Demczenko – pierwszego zastępcy ministra spraw zagranicznych Ukrainy i to właśnie ten dokument nigdy nie został upubliczniony.

Konsekwencje najnowszej kampanii MiniDuke mogą być następujące

  1. Jest duże prawdopodobieństwo, że każda osoba, która otrzyma sfałszowane pliki PDF otworzy je, ze względu na fakt obecnych wydarzeń jakie mają miejsce na Ukrainie.
  2. Twórca fałszywych plików PDF może mieć już dostęp do poufnej sieci komputerowej ukraińskiego rządu.

Jak widzimy, inżynieria społeczna zdaje się być najlepszym rozwiązaniem, tym bardziej wtedy gdy wykorzystuje się w niej bieżące wydarzenia, nawet wówczas gdy ryzyko jest wysokie. Formy rozpowszechniania zagrożeń są coraz lepiej planowane, aby każdy użytkownik dał się przekonać do otworzenia zarażonego pliku. Pomimo faktu, iż Internet staje się coraz bardziej społecznościowy, my jako użytkownicy musimy być coraz bardziej ostrożni kogo dodajemy do naszych kręgów znajomych oraz co udostępniamy.

Źródło: Emsisoft



Komentarze

mon_66 Fri, 04/18/2014 - 11:47

"Stwierdzono więc, że zagrożenie musiało zostać stworzone przez profesjonalistę i ukierunkowane jest na komputery rządowe." bankowo ruscy stoją za tym cudakiem. Chyba nikt nie ma już wątpliwości.

Learn more about our offer

If you sell security solutions, are a distributor, authorized partner or developer and would like to share your portfolio with a group of potential customers, advertise an event, software, hardware or other services on AVLab - simply write to us. Or maybe you had to deal with ransomware? We can also help you decrypt your files.
Read more

We use Google Cloud Translation and Gengo API’s to translate articles with exception of our comparative tests.