Vládní počítače napadeny už i v Česku

Pavel Kolář, 27. únor 2013 21:51 0 komentářů

Vládní instituce celého světa v poslední době napadá série sofistikovaných automatizovaných kybernetického útoků. Jedna z nich, špionážní malware MiniDuke, který zneužívá nedávno objevenou zranitelnost v programu na prohlížení PDF souborů Adobe Reader (pod označením CVE-2013-6040) zavítal už i do ČR.

 Sebejistí útočníci si nechali v kódu drobné nápovědy, ty  nakonec pomohly k dešifrování kódu.
Sebejistí útočníci si nechali v kódu drobné nápovědy, ty nakonec pomohly k dešifrování kódu.
Podle analýzy Kaspersky Lab a CrySys Lab se oběťmi malwaru MiniDuke staly významné cíle mimo jiné z řady vládních institucí v České republice, na Ukrajině, v Belgii, Portugalsku, Rumunsku a v Irsku. Kromě nich útočníci pronikli do výzkumného ústavu, dvou think tanků a zdravotnického zařízení v USA a výzkumné instituce v Maďarsku.

Kód, který byl kompletně napsán v Assembleru má pouze 20kb, po nahrání do systému provádí řadu základních činností jako například kopírování, přesouvání, mazání souborů, vytváření adresářů, rušení procesů a také samozřejmě nahrávání a spouštění nového malwaru.

Jakmile je systém kompromitován, na disk oběti je nahrán malý downloader, který je pro každý systém speciálně upraven a obsahuje specifický backdoor. Jakmile je spuštěn při bootování systému, využije downloader sadu matematických kalkulací k určení unikátního otisku počítače a později tato data využívá k šifrování vlastní komunikace. Navíc dokáže včas zachytit pokus o odhalení a okamžitě se v takovém případě zastaví.

Pokud napadený systém splňuje požadované parametry, malware využije Twitter (bez vědomí uživatele) a pomocí speciálních tweetů z předem vytvořených účtů se umí spojit s Command and Control operátory malwaru. Pokud nefunguje Twitter umí využít Google Search.

Malware je stále aktivní, poslední záznamy o jeho činnosti pocházejí z 20. února 2013. Ke zneužití využívají útočníci velice účinné techniky sociálního inženýrství. Obětem zasílají škodlivé PDF dokumenty se zdánlivě relevantním obsahem – zfalšovanými informacemi o semináři o lidských právech (ASEM) a plánech Ukrajiny v zahraniční politice a o připojení k NATO. Tyto škodlivé soubory jsou prošpikovány kódy zaměřenými na verze 9, 10 a 11 programu Adobe Reader, obcházející jeho sandbox.


Komentáře

RSS 

Komentujeme

Jak probíhá adopce cloudu

Pavel Houser , 16. únor 2018 09:45
Pavel Houser

Cloud už neznamená jen SaaS, jenže… K dispozici je řada analýz i prognóz, které dokládají, jak se po...

Více








RSS 

Zprávičky

Apple chce kupovat kobalt přímo od těžařů

ČTK , 21. únor 2018 11:48

Kobalt se používá v bateriích pro smartphony. Jeho cena výrazně vzrostla a poptávku dále zvýší nástu...

Více 0 komentářů

Qualcomm zvýšil nabídku na převzetí NXP na 44 miliard dolarů

ČTK , 21. únor 2018 11:00

Krok by mohl Qualcommu rovněž pomoci odvrátit snahu rivala Broadcom o jeho převzetí....

Více 0 komentářů

Bitcoin je o 100 % dražší než v lednu

ČTK , 21. únor 2018 10:00

Digitální měna bitcoin se dnes na lucemburské burze Bitstamp vyšplhala na své třítýdenní maximum 11 ...

Více 0 komentářů

Starší zprávičky

CZ.NIC spouští Honeypot as a Service v ostrém provozu

Pavel Houser , 21. únor 2018 08:00

Nasbíraná data využívá Národní bezpečnostní tým CSIRT.CZ pro zkoumání útoků z českých IP adres....

Více 0 komentářů

V Česku vznikne satelitní centrum pro armádní rozvědku a NATO (aktualizováno)

ČTK , 20. únor 2018 23:00

Centrum bude získávat a zpracovávat fotografie i radarové snímky z družic....

Více 2 komentářů

ABB uvádí software pro transformaci energetických podniků

Pavel Houser , 20. únor 2018 12:22

ABB na konferenci DistribuTECH představila software ABB Ability Ellipse pro podporu digitalizace. ...

Více 0 komentářů

Soud zrušil milionové pokuty pro mobilní operátory

ČTK , 20. únor 2018 10:16

Případ se táhne už zhruba 15 let. Týká se společností T-Mobile a Oskar (předchůdce Vodafonu)....

Více 0 komentářů