MiniDuke ataca em Portugal

A backdoor MiniDuke foi detectada em entidades governamentais portuguesas (quais?) pela Kaspersky. A backdoor é instalada através de uma vulnerabilidade no Adobe Reader.


Investigadores detectam intrusão informática em computadores do Governo
João Pedro Pereira, Público 27/02/2013

Duas equipas de investigadores em segurança informática detectaram intrusões em computadores de entidades governamentais de vários países, entre os quais Portugal, Ucrânia, Bélgica, Irlanda, Roménia e República Checa.

Os atacantes estão a explorar uma falha no Adobe Reader, usado na leitura de ficheiros PDF, para instalar software malicioso, capaz de permitir acesso a informação nos sistemas afectados. As conclusões foram publicadas nesta quarta-feira e resultam de uma investigação conjunta da empresa de segurança informática russa Kaspersky Lab e de um laboratório da Universidade de Budapeste, na Hungria (onde foi atacado um "proeminente" centro de investigação), o qual também publicou uma nota sobre o assunto.

O software malicioso, chamado MiniDuke, ainda está activo, frisam os especialistas. O PÚBLICO não conseguiu obter clarificações do Governo sobre o assunto. De acordo com a Kaspersky Lab, que não quis dar mais pormenores, as autoridades dos países em causa já foram contactadas. Também foram afectadas entidades não-governamentais dos EUA.

A estratégia usada pelos atacantes implica o envio de documentos PDF falsos, escritos para parecerem documentos legítimos, que “eram altamente relevantes” e “com conteúdo bem concebido”. Foram identificados documentos forjados relativos à NATO, a um seminário sobre direitos humanos e à política externa ucraniana.

Uma vez instalado o primeiro software malicioso através dos ficheiros PDF, este procurava contas no Twitter (criadas pelos programadores do software) ou fazia pesquisas no Google que lhe permitiam aceder a conteúdos com instruções para o passo seguinte: a instalação de mais software malicioso no computador, o qual, por sua vez, permite que sejam executadas remotamente uma série de acções, que incluem apagar, renomear e copiar ficheiros. O software nos computadores infectados comunica com servidores do Panamá e Turquia para receber instruções, o que não quer dizer que sejam essas as origens dos atacantes.

A falha que está a ser explorada no Adobe Reader já tinha sido identificada. A Adobe corrigiu o problema na semana passada, o que implica que os utilizadores têm de descarregar e instalar uma actualização.

(...)

artigo completo no site do Público



Kaspersky Lab Identifies ‘MiniDuke’, a New Malicious Program Designed for Spying on Multiple Government Entities and Institutions Across the World
27 Feb

Today Kaspersky Lab’s team of experts published a new research report that analyzed a series of security incidents involving the use of the recently discovered PDF exploit in Adobe Reader (CVE-2013-6040) and a new, highly customized malicious program known as MiniDuke. The MiniDuke backdoor was used to attack multiple government entities and institutions worldwide during the past week. Kaspersky Lab’s experts, in partnership with CrySys Lab, analyzed the attacks in detail and published their findings.

According to Kaspersky Lab’s analysis, a number of high profile targets have already been compromised by the MiniDuke attacks, including government entities in Ukraine, Belgium, Portugal, Romania, the Czech Republic and Ireland. In addition, a research institute, two think tanks, and healthcare provider in the United States were also compromised, as was a prominent research foundation in Hungary.

“This is a very unusual cyberattack,” said Eugene Kaspersky, Founder and CEO of Kaspersky Lab. “I remember this style of malicious programming from the end of the 1990s and the beginning of the 2000s. I wonder if these types of malware writers, who have been in hibernation for more than a decade, have suddenly awoken and joined the sophisticated group of threat actors active in the cyberworld. These elite, “old school” malware writers were extremely effective in the past at creating highly complex viruses, and are now combining these skills with the newly advanced sandbox-evading exploits to target government entities or research institutions in several countries.”

“MiniDuke’s highly customized backdoor was written in Assembler and is very small in size, being only 20kb,” added Kaspersky. “The combination of experienced old school malware writers using newly discovered exploits and clever social engineering to compromise high profile targets is extremely dangerous.”

(...)

artigo completo no site da Kaspersky

hackers + militares + espionagem industrial


Chinese military linked to 'overwhelming' number of cyberattacks
ZDnet

A U.S.-based security research firm says that a building associated with the Chinese military is the source of an "overwhelming" percentage of cyberattacks.

Hired by the New York Times, security firm Mandiant has released a 60-page report which alleges members of sophisticated hacking groups known as "Comment Crew" and "Shanghai Group" have been traced back to a 12-story building associated with the People's Liberation Army General Staff's 3rd Department, otherwise known as Unit 61398 in Shanghai.

The Virginia-based firm says within its latest report that although it cannot be determined if the hackers are present within the building, forensic investigations have managed to lead the security team to the unit's door.

notícia completa

relatório da Mandiant

Sobre phishing e mulas


O desemprego e o desespero em resultado da crise estão a consolidar uma forma de fraude informática que desde 2009 registou um ‘boom’ em Portugal, disse à Lusa um responsável pela investigação criminal da Polícia Judiciária.

A fraude chama-se ‘phishing’ e consiste em obter dados pessoais sobretudo para aceder a contas bancárias e fazer branqueamento de dinheiro.

“Podemos identificar um ‘boom’ de situações de ‘phishing’ entre 2009 e 2011”, admitiu o responsável pela Secção Central de Investigação da Criminalidade de Alta Tecnologia (SCICAT) da PJ, Carlos Cabreiro.

Só no ano passado, o aumento registado deste tipo de crime ascendeu aos 20% em relação a 2011, referiu, adiantando que apenas na área de Lisboa houve 800 inquéritos que representam um prejuízo de quase um milhão de euros.

A ‘pesca’ de dados pessoais é feita, em muitos casos, através de ofertas de emprego a que as pessoas respondem dando dados pessoais.

“É um dos ‘modus operandis’ que existe e baseia-se na mensagem ilusória de [oferta de] emprego, levando as pessoas a fornecer dados pessoais que não deviam ser, em nenhum momento, fornecidos a terceiros”, explicou Carlos Cabreira.

“As pessoas são usadas para se disponibilizarem a receber fundos e a participarem na execução do crime”, explicou, alertando para a inexistência de “lucro fácil”.

Uma outra fonte policial, que preferiu não ser identificada, contou à Lusa que os emails com ofertas de trabalho são enviados normalmente em inglês e pedem, em troca, dados pessoais e o número de identificação bancária.

“As pessoas querem trabalhar, estão desesperadas, dão o NIB, mandam cópias dos Bilhetes de Identidade e outros dados e acabam, muitas vezes, por transformar-se em ‘mulas’”, disse o investigador, explicando que as ‘mulas’ é um termo para nomear quem recebe nas suas contas o dinheiro depositado pelos piratas e depois o transferem, normalmente através da Western Union.

E se, na maior parte dos casos, estas ‘mulas’ estão conscientes do crime, actualmente cresce o número de pessoas que não sabem que estão a contribuir para este esquema, refere a mesma fonte.
“Há muitas situações em que as pessoas não fazem a mínima ideia do que estão a fazer e é por isso que são consideradas apenas como vítimas e testemunhas”, disse, explicando que recebem emails dos supostos empregadores a informá-las que vão receber, por exemplo, 10 mil euros nas suas contas.

“Dizem-lhes para levantar esse dinheiro e mandar para uma morada, em nome de pessoas como Erica Gorbatchev ou outros inacreditáveis”, contou.

Os piratas informáticos que operam em Portugal provêm sobretudo de duas regiões do mundo, afirmou Carlos Cabreiro: o Brasil, para aproveitar a facilidade da língua, e os países da Europa de Leste e Rússia, para onde são transferidos os fundos.

Lusa/SOL


Comentário: escusado será dizer que quem vai preso são as "mulas", não a Erica Gorbatchev...

DMA attack & defense

Giro.



"This video demonstrates a direct memory access (DMA) attack device. This device is capable of stealing the contents of memory from a running sever and exfiltrating stolen data over a network. It shows how attackers can then analyze the stolen contents of memory to extract credit card numbers, passwords, secret keys, or other sensitive data. This video also shows how this attack is prevented when using PrivateCore."

Do site da PrivateCore