Kaspersky Lab: »MiniDuke«-Virus nutzt PDF-Schwachstelle

»MiniDuke« nennt sich ein neues, hoch spezialisiertes Schadprogramm, das die jüngst entdeckte Sicherheitslücke bei PDF-Dateien (Adobe Reader; Exploit CVE-2013-6040) ausnützt. Der Miniduke-Backdoor-Trojaner wurde eingesetzt, um in der vergangenen Woche weltweit zahlreiche Regierungsstellen und weitere Organisationen anzugreifen. Der Anti-Malware-Spezialist Kaspersky Lab hat ihn entdeckt, und zusammen mit CrySys Lab die Angriffe analysiert.

Die Analyse enthüllt, dass eine Reihe hochrangiger Zielpersonen von Miniduke angegriffen wurde. Diese Personen gehören Regierungsstellen in Belgien, Irland, Portugal, Rumänien, der Tschechischen Republik und der Ukraine an. Darüber hinaus sind in den USA ein Forschungsinstitut, zwei Think-Tanks und ein Dienstleister aus dem Gesundheitsbereich ebenso betroffen wie eine bekannte Forschungseinrichtung in Ungarn.

Miniduke anscheinend von »Schläfern« geschrieben

»Das ist ein sehr ungewöhnlicher Cyber-Angriff«, erklärt Eugene Kaspersky, Gründer und CEO von Kaspersky Lab. »Ich kenne diesen Stil der Programmierung aus den späten 90er Jahren und um die Jahrtausendwende. Und ich frage mich, warum diese Malware-Autoren, die gleichsam als Schläfer ein Jahrzehnt inaktiv waren, plötzlich aufgewacht sind und sich einer aktuellen Gruppe von Cyberspionen angeschlossen haben. Diese Elite, also die ‚Old-School‘-Autoren, waren in der Vergangenheit hinsichtlich der Schaffung von hochkomplexen Viren-Programmen sehr effektiv. Jetzt kombinieren sie ihre Fähigkeiten mit sehr raffinierten Sicherheitslücken, die etwa eine Sandbox-Technologie umgehen, um Regierungsstellen oder Forschungseinrichtungen in verschiedenen Ländern anzugreifen.«

Miniduke in Maschinensprache Assembler geschrieben

Der Backdoor-Trojaner Miniduke ist hochspezialisiert und in der maschinennahen Sprache Assembler geschrieben. »Daher ist er mit nur 20 KByte sehr klein«, erklärt Kaspersky. »Es ist die Kombination von klassischer Virenprogrammierung mit neuesten Exploit-Technologien sowie raffinierten Social-Engineering-Tricks, die diese in Bezug auf hochrangige Zielpersonen so gefährlich macht.

Nach Erkenntnissen von Kaspersky sind die Miniduke-Angreifer immer noch aktiv und haben ihre jüngsten Versionen erst vor einer Woche, und zwar am 20. Februar 2013 erzeugt. Die Opfer wurden mittels sehr effektiver Social-Engineering-Techniken angegriffen. Die dabei verschickten PDF-Dateien waren sehr professionell erstellt und gaben vor, Informationen der ASEM (Asia-Europe Meetings), zur Außenpolitik der Ukraine und Plänen von NATO-Mitgliedern zu enthalten.

Die PDF-Dateien waren mit Exploits ausgestattet, welche die Adobe-Reader-Versionen 9, 10 und 11 angriffen und deren Sandbox umgingen. Diese Exploits wurden mit einem Toolkit erstellt, das offenbar dasselbe wie in der kürzlich von »FireEye« berichteten Attacke war. Die Exploits, die bei den Miniduke-Attacken zum Einsatz kamen, dienten anscheinend einem anderen Zweck und verfügten über eine eigene Malware.

Miniduke-Verhalten nach Infektion ist fast einmalig

Auch die Infektion eines PCs geschieht sehr raffiniert, und fast einmalig. Sobald ein System kompromittiert ist, wird ein sehr kleiner Downloader von 20 KByte auf der Festplatte des Opfers platziert. Der Downloader ist für jedes System einmalig und enthält eine spezielle Hintertür, die in Assembler geschrieben ist. Beim Hochfahren des Systems ermittelt der Downloader mittels mathematischer Verfahren einen einmaligen Fingerabdruck des angegriffenen Computersystems und verwendet diese Daten auch zur späteren Verschlüsselung.

Seine Programmierung wehrt überdies Analysewerkzeuge bestimmter Umgebungen wie etwa VMware ab. Sobald die Software einen Analyseversuch bemerkt, stellt sie ihre Aktivitäten ein, um keine Möglichkeit der Entschlüsselung zu geben. Dies ist ein Zeichen dafür, dass die Malware-Schreiber das Vorgehen von IT-Sicherheitsspezialisten genau kennen.

. Kommentar schreiben