Бытовая техника — обзоры, тесты

MiniDuke – элитный бэкдор геополитической разведки

MiniDuke – элитный бэкдор геополитической разведки

США, Украину и другие страны Европы поразил новый бэкдор, стиль написания которого указывает на элитных программистов старой закалки. Его задача – хищение инфы с исследовательских, дипломатических, и правительственных структур, информирует CNews.

Новая шпионская программа под именованием MiniDuke была найдена Лабораторией Касперского в сотрудничестве с CrySys Lab (Венгрия). Разработчики и заказчики бэкдора пока не установлены.

MiniDuke отличается избирательностью атак. Он поразил всего 50 компютеров, но среди их нет ни одной случайной машины. Бекдор держал под контролем Четыре учреждения по мед исследованиям в США, городские организации Украины, Ирландии, Бельгии, Португалии, Чехии и Румынии, исследовательский фонд в Венгрии. Жертвами MiniDuke стали организации, отвечающие за электростанции, в том числе атомные, торговые предприятия и космические агентства.

Бэкдор MiniDuke не связан с известными платформами для проведения целевых атак, заявил эксперт Лаборатории Касперского Игорь Суменков.

ЛК и CrySys Lab невольно восхищаются качеством написания вредного кода. Этот стиль программирования употреблялся вирусописателями в конце прошедшего – начале нашего столетия. Уже 10 лет экспертам безопасности не встречались угрозы подобного стиля.

Евгений Касперский отмечает: «Эти элитные писатели вредных программ старой закалки были очень успешны в разработке сложных вирусов, а сейчас они совмещают свои способности с новыми, способными ускользать от защитных технологий эксплойтами для того, чтобы атаковать городские учреждения и научные организации в разных странах».

Язык MiniDuke – ассемблер. Основной модуль бэкдора весит фактически 20 кБ. Распространяется свеженайденым эксплойтом CVE-2013-6040, который эксплуатирует брешь в Adobe Reader. После самоустановки бэкдор способен копировать, удалять и перемещать файлы, создавать новые папки, останавливать процессы.

MiniDuke – элитный бэкдор геополитической разведки

Кусочек твита с кодированной командой для MiniDuke
Чтобы инфицировать нужные ПК, разработчики MiniDuke разослали PDF-документы с эксплойтами, которые встраиваются в Adobe Reader 9, 10 и 11. Контент этих документов касался внешней политики Украины, планов НАТО, содержал информацию и семинарах по защите прав человека.

Последний раз MiniDuke обновлялся 20 февраля, другими словами он ещё делает свою цель. Шпион не выдаёт собственного присутствия на инфицированной машине. Он постоянно ведёт мониторинг инструментов анализа системы и антивирусных компонент. Если для MiniDuke есть риск быть выявленным, он временно сворачивает свою работу и дожидается, пока защита будет отключена.

Связь с командными центрами вредитель поддерживает через сервис микроблогов Twitter. Он ищет особенные твитты с закодированными URL-адресами, которые публикуют операторы шпионской сети MiniDuke. По ним бот связывается с командным сервером, куда передаёт добытую информацию и получает новые задания.

На тот случай, если с серверами Twitter что-то случится, для бэкдора предусмотрен запасной канал связи – он может отыскивать нужные ссылки для доступа к собственному серверу поисковиком Google по всей Сети. Инструкции для бэкдора приходят от сервера на инфицированную систему в формате GIF-файлов.

Спецы не назвали национальность MiniDuke. Понятно, что один из его серверов находится в Панаме, и ещё один – в Турции.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Статьи