Miniduke saldırıları yeniden başlıyor

2013 yılındaki eski stil Miniduke eklentilerinin yine gündeme geldiğini ve hükümetlerle diğer kuruluşları hedef alıyor. Hükümetler dışında kurbanlar arasında, diplomatik kuruluşlar, enerji sektörü, telekom operatörleri, askeri yükleniciler ve kontrole tabi yasadışı maddelerin trafiğinde ve satışında yer alan kişiler var.

Miniduke APT aktörleri kampanya yoğunluğunu azaltmalarına rağmen, Kaspersky Lab'ın iş ortağı CrySyS Lab ile birlikte geçtiğimiz yıl yaptığı duyuru sonrasında, 2014'ün ilk aylarında saldırılarına yeniden başladılar. Kaspersky Lab uzmanları bu sefer saldırganların yöntemleri ve kullandıkları araçlarda değişiklikler olduğunu fark etti.

2013 yılında açığa çıktıktan sonra Miniduke'nin arkasındaki aktör, çok sayıda farklı bilgi çeşitlerini çalma yeteneği olan başka bir özel arka kapı kullanmaya başladı. Kötü amaçlı bu uygulama, dosya bilgileri, simgeler ve hatta dosya boyutu dahil olmak üzere arka planda çalışmak için tasarlanmış popüler uygulamaları ele geçiriyor.

Farklı ve zararlı yetenekler

“Yeni” Miniduke'nin ana arka kapısı (diğer adıyla TinyBaron veya CosmicDuke), bot oluştururken ki bileşenleri etkinleştirme veya devre dışı bırakma esnekliğine sahip BotGenStudio adında özelleştirilebilir bir çerçeve kullanılarak derlendi. Kötü amaçlı yazılım,çeşitli bilgileri çalabilme yeteneğine sahip. Arka kapıya şunlar da dahil olmak üzere diğer birçok yeteneği mevcut: Tuş kaydedici, genel ağ bilgilerini ele geçirme, ekran tutucu, pano tutucu; Microsoft Outlook, Windows Adres Defteri hırsızı; Skype, Google Chrome, Google Talk, Opera, TheBat!, Firefox, Thunderbird parola hırsızı; Korumalı Depolama gizli bilgilerini ele geçirme, Sertifika/özel tuşları dışa aktarma.

Kötü amaçlı bu yazılım, FTP yoluyla veri yüklemek ve HTTP iletişim mekanizmalarının üç değişik türevi dahil olmak üzere, veriyi gizlice ele geçirmek için birkaç ağ konektörü kullanıyor. Ele geçirilen verilerin depolanması da MiniDuke'nin dikkat çeken bir başka özelliği. Bir dosya, C&C sunucusuna yüklenirken, sunucuya yüklenmek üzere sıkıştırılan, şifrelenen ve bir kapsayıcıya yerleştirilen küçük parçalara (yaklaşık 3 Kb) bölünüyor. MiniDuke'nin her kurbanına özel bir kimlik atanıyor, böylece belirli güncellemelerin tek bir kurbana iletilmesi sağlanıyor.

Analizler sırasında Kaspersky Lab uzmanları, CosmicDuke komut ve kontrol sunucularından (C&C) birinin kopyasını ele geçirmeyi başardı. Bunun yalnızca CosmicDuke aktörleri ve zararlı yazılımın bulaştığı bilgisayarlar arasındaki iletişim için değil, aynı zamanda potansiyel hedeflere ulaşmalarını sağlayabilecek her şeyi toplama hedefi ile İnternet üzerindeki diğer sunuculara izinsiz giriş yapan grup üyeleri tarafından, diğer operasyonlar için de kullanıldığı görüldü.

Kurbanları değişti

Eski stil Miniduke eklentileri çoğunlukla devlet kurumlarını hedef alırken artık yeni stil CosmicDuke eklentilerini ilginç şekilde kurban tipolojisi değişmiş durumda. Kurbanları arasında hükümetlerin yanı sıra diplomatik kuruluşlar, enerji sektörü,Telekom operatörleri,askeri yükleniciler ve kontrole tabi yasadışı maddeler trafiği ile satışında yer alan kişiler var.

Kaspersky Lab uzmanları, kurbanların ve ülkelerinin bir listesini çıkarmayı başardı. Uzmanlar, eski stil Miniduke sunucularını kullananların Avustralya, Belçika, Fransa, Almanya, Macaristan, Hollanda, İspanya, Ukrayna ve Amerika Birleşik Devletleri'ndeki hedeflerle ilgilendiklerini ortaya çıkardı. Bu ülkelerin en az üçündeki kurbanlar “hükümet” kategorisine ait. Analiz edilen CosmicDuke sunucularından birisi, Nisan 2012 tarihinden itibaren başlayan uzun bir kurban listesine (139 benzersiz IP) sahip. Coğrafi dağılım ve en iyi 10 ülke açısından bakıldığında, kurbanlar Gürcistan, Rusya, ABD, İngiltere, Kazakistan, Hindistan, Belarus, Kıbrıs, Ukrayna ve Litvanya'da bulunuyor. Saldırganlar ayrıca operasyonlarını Azerbaycan Cumhuriyeti, Yunanistan ve Ukrayna'daki taranmış IP aralıklarına ve sunucularına kadar genişletmek konusunda hevesliler.

Ticari platform. Ortaya çıkarılan en sıra dışı kurbanlar ise steroid ve hormonlar gibi kontrole tabi yasadışı maddelerin trafiğinde ve satışında yer alan kişilerdi. Bu kurbanların yalnızca Rusya'dan olduğu gözlendi.