Luca, Ottilia
2 °C
5 °C

Megtámadták Európa kormányzatainak felét

2013.02.27. 23:39

A Stuxnet, a Duqu, a Gauss és a Flame után (amelyekről kiderült, hogy azonos alkotóelemeket használnak) újabb kifinomult, fontos célpontokra specializálódott számítógépes kártevőt találtak a kiberbiztonsági szakemberek. A Miniduke-nak elnevezett új kártevőt közösen azonosította a Kaspersky Lab és a Budapesti Műszaki Egyetemen működő Laboratory of Cryptography and System Security (CrySyS Lab).

Bencsáth Boldizsár, a csoport egyik tagja szerint valaki körbetámadta fél Európa kormányzatát, főleg a külügyet. Magyarországon négy megtámadott célpontról tudnak, összesen pedig 59-ről, 23 országból.

Az elemzések alapján a támadássorozatban rajtunk kívül érintett az ukrán, a portugál, a román, a cseh és az ír kormány, belgiumi nagykövetségek és néhány amerikai kutatóintézet is. Emellett a kártevőt Brazíliában, Bulgáriában, Grúziában, Németországban, Izraelben, Japánban, Litvániában, Libanonban, Lettországban, Montenegróban, Szlovéniában, Spanyolországban, Törökországban, az Egyesült Királyságban és Oroszországban is azonosították.

Ellenben a Stuxnettel és leszármazottaival, amelyek közül több is évekig sikeresen bujkált a kutatók kíváncsi szemei elől, most rendkívül friss dologról van szó: a CrySyS Lab elemzése szerint a kártevőt célba juttató rosszindulatú szoftvert (malware-t) február 20-án véglegesítették, míg a kártékony kódot szintén aznap, pár perccel később.

A számítógép felett az Adobe Reader sebezhetőségét kihasználva veszik át az irányítást (azóta megjelent a javítás hozzá), a Miniduke-ot célba juttató fájlt egy valódinak látszó PDF-dokumentumba csomagolják. A magyar támadásokhoz használt verzió egy Ukrajna NATO-csatlakozásához szükséges emberi jogi szeminárium megtartásáról szól.

A csalidokumentum
A csalidokumentum

Az eddig elérhető minták alapján a támadók nagyon gyorsan tudnak új variánsokat előállítani, ez megnehezíti a malware felismerését is. Megkönnyíti viszont, hogy minden esetben készít a program egy gyorshivatkozást (.lnk) a Program Files/Startup helyre. Ezzel indul el a kártevő újraindítás után.

Twitterre kapcsolódik

A trójait régimódi fordítóprogrammal készítették, és mindösszesen 20 kilobájt. A mostani modern malware-ek általában ennél nagyobbak, körülbelül 200 kilobájtosak. Kiemelkedően nagy méretű volt  a Flame, amelynek egyik fő modulja hat megabájt volt. A Miniduke programkódjának legfontosabb részei titkosítottak, melyhez három különböző titkosítókulcsot használnak.

A fertőzés után, már említett módon, a Windows beépített automatikus indítása segítségével aktiválódik a program, majd megpróbálja felvenni a kapcsolatot a vezérlőszerverekkel. Ehhez felcsatlakozik a Twitterre, ahol előre megadott fiókokat keres. Ezeken egy valósnak tűnő rövid üzenetet találhat, amelyet egy kódolt parancs követ. Az egyik ilyen fiók az álcázás érdekében még másokat is követ, például Justin Biebert.

Ez valójában egy parancs
Ez valójában egy parancs
Második lépésben a malware felcsatlakozik a www.geoiptool.com oldalára, mellyel azonosítani tudja a megtámadott gép földrajzi helyét. A vezérlés több úgynevezett command and control (vezérlő) kiszolgálón keresztül történik: különböző támadásokhoz mindig másik gépről. A magyar támadást például egy svájciról irányították.

Egyedülálló és különös

Az elemzések alapján a biztonsági szakemberek ezt a két jelzőt akasztották a támadásokra. Több, különböző célpont, más-más országban is érintett, csak az köti össze őket, hogy fontos szerepet töltenek be az adott országokban: a megtámadott intézmények között akadt kongresszus, parlament, külügyminisztérium és emberi jogi szervezet is.

Egyelőre nem tudni, pontosan mire képes a kártevő, mit keresett, milyen adatokat lopott el. Felépítése alapján azonban a támadók bármikor új parancsokat adhattak neki, sőt a magyar szakemberek az észlelés idején is tapasztalták, hogy új funkciókkal ruházták fel.

Valószínűleg ennek a programnak is köze van az eddig lelepleződött támadásokhoz, néhány összetevő a Duqura és a Vörös Októberre emlékezteti a kutatókat. A kódolási stílus alapján úgy tűnik, a 29A néven emlegetett csoport állhat a háttérben (a 29A hexában számolva 666), ez a szám megtalálható a kódban. A 29A 1996 decemberében publikálta legelső malware-jét, és 2008 februárjáig biztosan aktívak voltak.