Tako imenovani backdoor program MiniDuke je bil v zadnjem tednu uporabljen v napadih na številne vladne organe in institucije po svetu. Strokovnjaki iz družbe Kaspersky Lab so v sodelovanju z ustanovo CrySys Lab napade analizirali in objavili svoje ugotovitve.

Pri analiziranju dnevnikov iz ukaznih strežnikov so zaznali 59 edinstvenih žrtev zlonamernih napadov v 23 državah. Med temi se je poleg držav, kot so Belgija, Brazilija, Nemčija, Madžarska, Japonska, Črna Gora, Rusija, Španija in Velika Britanija, znašla tudi Slovenija.

Med tarčami programa so bili med drugim vladni organi v Ukrajini, Belgiji, Romuniji, na Portugalskem, Češkem in Irskem. Poleg teh so bili ogroženi denimo tudi raziskovalna institucija, ponudnik zdravstvenih storitev v ZDA in raziskovalna fundacija na Madžarskem.

"Gre za zelo nenavaden spletni napad," je v sporočilu za javnost pojasnil ustanovitelj in direktor podjetja Kaspersky Lab Eugene Kaspersky. Takega načina zlonamernega programiranja se namreč spominja iz konca 90. let in po letu 2000.

"Sprašujem se, ali so se take vrste programerji, ki so bili več kot desetletje v stanju mirovanja, nenadoma prebudili in se pridružili sofisticirani skupini napadalcev, ki deluje v kibernetskem svetu," je nadaljeval.

Programerji "stare šole"

Ti elitni zlonamerni programerji "stare šole" so bili po njegovih besedah v preteklosti izjemno učinkoviti pri ustvarjanju izjemno zapletenih virusov. Zdaj pa ta znanja združujejo z novim, naprednim, nadzoru izogibajočim se izkoriščanjem programskih kod, s katerim ciljajo na vladne organe ali raziskovalne institucije v več državah.

MiniDukeovi napadalci so sicer še vedno aktivni, zlonamerni program pa so ustvarili šele pred nedavnim, 20. februarja. Da bi ogrozili žrtve, so napadalci uporabili izjemno učinkovite tehnike socialnega inženiringa, ki so vključevale tudi pošiljanje zlonamernih PDF-datotek tarčam.

Na disk žrtve se ob napadu na sistem naloži majhen program. Ta je za sistem edinstven in vsebuje prilagojena stranska vrata. Ko se ob zagonu sistema program naloži na računalnik, uporabi zbirko matematičnih izračunov za določitev zasedbe računalnika. V zameno te podatke uporabi za edinstveno šifriranje svojega nadaljnjega sporočila.

Programiran je tudi tako, da se izogne analizi v določenih okoljih, kot je na primer VMware. Če program ugotovi, da bi ga kateri od teh kazalnikov odkril, preide v stanje mirovanja (namesto da bi prešel v drugo fazo in z nadaljnjim dekodiranjem izpostavil več svoje funkcionalnosti).

Poznajo delovanje IT-strokovanjkov za varnost

To pomeni, da zlonamerni programerji natančno vedo, kaj počnejo strokovnjaki za IT-varnost in protivirusni strokovnjaki, da bi analizirali in prepoznali zlonamerno programsko opremo, še navajajo v Kaspersky Labu.

Sistem Kaspersky Laba sicer zazna in nevtralizira zlonamerni program MiniDuke, ki se pojavlja kot HEUR:Backdoor.Win32.MiniDuke.gen in Backdoor.Win32.Miniduke. Kaspersky Lab zazna tudi izkoriščanje programskih kod v PDF-dokumentih, uvrščenih kot Exploit.JS.Pdfka.giy.