Poznata kompanija za antivirus zaštitu Kasperski otkrila je novi virus pod imenom "MiniDuke" koji je protekle nedelje napadao veliko broj institucija širom evrope i stizao je na mejlove u vidu PDF formata, a direktor kompanije Jevgenij Kasperski izjavio je da je ovo modifikovan malver koji se koristio krajem devedesetih i da je napade izvršila elita "stare šrkole".
Pažljivo birane mete među kojima se nalaze državne institucije Ukrajine, Belgije, Rumunije, Češke, Irske i drugih zemalja, instituti za istraživanja i jedna neimenovana američka zdravstvena organizacija dobijale su email poruke koje su sadržale PDF fajlove opremljene nedavno otkrivenim "exploit"-om za "Adobe Reader "9, 10 i 11. Isti "exploit", sposoban da zaobiđe "sandbox" zaštitu u "Adobe Reader"-u 10 i 11, koga otkrili stručnjaci firme "FireEye" ranije ovog meseca.
U napadima malverom "MiniDuke" korišćen je isti "exploit" koga su otkrili stručnjaci "FireEye"-a, ali sa nekim izmenama, što može značiti da su napadači imali pristup programskom alatu koji je korišćen za razvoj originalnog "exploit"-a.
PDF fajlovi koji su stizali na email adrese žrtava su lažne kopije izveštaja sa sadržajem koji je relevantan za napadnute organizacije.
"Ovo je veoma neuobičajen sajber napad“, kaže Jevgenij Kasperski, direktor Kasperski Laba. On kaže da se seća tog stila zlonamernog programiranja s kraja devedesetih i početka prošle decenije. Kasperski smatra da je moguće da su pisci ove vrste malvera hibernirali više od decenije da bi se iznenada probudili i pridružili današnjim autorima kompleksnih malvera. Reč je o eliti iz „stare škole“ pisanja malvera koja je bila vrlo efikasna u prošlosti i koja sada kombinuje svoja umeća sa novim naprednim "exploit"-ima koji zaobilaze "sandbox" zaštitu, smatra Kasperski.
"MiniDuke" je backdoor, koji sadrži 20KB veliki dovnloader. On je sposoban da izbegne detekciju od strane antivirusa, što ukazuje na to da njegovi autori tačno znaju kako stručnjaci iz oblasti antivirusne zaštite otkrivaju i analiziraju malvere.
Malver instaliran tokom prve faze napada se povezivao sa određenim Tviter nalozima koji su sadržali enkrptovane komande koje ukazuju na četiri veb sajta koji su korišćeni kao serveri za komandu i kontrolu (C&C serveri). Ovi veb sajtovi hostovani su u SAD, Nemačkoj, Francuskoj i Švajcarskoj, i na njima se nalaze GIF fajlovi koji sadrže drugi bekdor program koji ažurira prvi backdoor i povezuje se sa serverima za komandu i kontrolu kako bi preuzeo još jedan backdoor program koji je jedinstven za svku žrtvu.
"C&C serveri" koji hostuju pet različitih bekdor programa za pet različitih žrtava otkriveni su u Portugaliji, Ukrajini, Nemačkoj i Belgiji. Ovi jedinstveni backdoor programi se povezuju sa različitim C&C serverima u Panami i Turskoj, i omogućavaju napadačima da pokrenu komande na zaraženim sistemima.
Žrtve malvera "MiniDuke" su organizacije u Belgiji, Brazilu, Bugarskoj, Češkoj, Gruziji, Nemačkoj, Mađarskoj, Irskoj, Japanu, Letoniji, Libanonu, Litvaniji, Crnoj Gori, Portugliji, Rumuniji, Rusiji, Sloveniji, Španiji, Turskoj, Ukrajini, Velikoj Britaniji i SAD.
