MiniDuke ataca em Portugal

A backdoor MiniDuke foi detectada em entidades governamentais portuguesas (quais?) pela Kaspersky. A backdoor é instalada através de uma vulnerabilidade no Adobe Reader.


Investigadores detectam intrusão informática em computadores do Governo
João Pedro Pereira, Público 27/02/2013

Duas equipas de investigadores em segurança informática detectaram intrusões em computadores de entidades governamentais de vários países, entre os quais Portugal, Ucrânia, Bélgica, Irlanda, Roménia e República Checa.

Os atacantes estão a explorar uma falha no Adobe Reader, usado na leitura de ficheiros PDF, para instalar software malicioso, capaz de permitir acesso a informação nos sistemas afectados. As conclusões foram publicadas nesta quarta-feira e resultam de uma investigação conjunta da empresa de segurança informática russa Kaspersky Lab e de um laboratório da Universidade de Budapeste, na Hungria (onde foi atacado um "proeminente" centro de investigação), o qual também publicou uma nota sobre o assunto.

O software malicioso, chamado MiniDuke, ainda está activo, frisam os especialistas. O PÚBLICO não conseguiu obter clarificações do Governo sobre o assunto. De acordo com a Kaspersky Lab, que não quis dar mais pormenores, as autoridades dos países em causa já foram contactadas. Também foram afectadas entidades não-governamentais dos EUA.

A estratégia usada pelos atacantes implica o envio de documentos PDF falsos, escritos para parecerem documentos legítimos, que “eram altamente relevantes” e “com conteúdo bem concebido”. Foram identificados documentos forjados relativos à NATO, a um seminário sobre direitos humanos e à política externa ucraniana.

Uma vez instalado o primeiro software malicioso através dos ficheiros PDF, este procurava contas no Twitter (criadas pelos programadores do software) ou fazia pesquisas no Google que lhe permitiam aceder a conteúdos com instruções para o passo seguinte: a instalação de mais software malicioso no computador, o qual, por sua vez, permite que sejam executadas remotamente uma série de acções, que incluem apagar, renomear e copiar ficheiros. O software nos computadores infectados comunica com servidores do Panamá e Turquia para receber instruções, o que não quer dizer que sejam essas as origens dos atacantes.

A falha que está a ser explorada no Adobe Reader já tinha sido identificada. A Adobe corrigiu o problema na semana passada, o que implica que os utilizadores têm de descarregar e instalar uma actualização.

(...)

artigo completo no site do Público



Kaspersky Lab Identifies ‘MiniDuke’, a New Malicious Program Designed for Spying on Multiple Government Entities and Institutions Across the World
27 Feb

Today Kaspersky Lab’s team of experts published a new research report that analyzed a series of security incidents involving the use of the recently discovered PDF exploit in Adobe Reader (CVE-2013-6040) and a new, highly customized malicious program known as MiniDuke. The MiniDuke backdoor was used to attack multiple government entities and institutions worldwide during the past week. Kaspersky Lab’s experts, in partnership with CrySys Lab, analyzed the attacks in detail and published their findings.

According to Kaspersky Lab’s analysis, a number of high profile targets have already been compromised by the MiniDuke attacks, including government entities in Ukraine, Belgium, Portugal, Romania, the Czech Republic and Ireland. In addition, a research institute, two think tanks, and healthcare provider in the United States were also compromised, as was a prominent research foundation in Hungary.

“This is a very unusual cyberattack,” said Eugene Kaspersky, Founder and CEO of Kaspersky Lab. “I remember this style of malicious programming from the end of the 1990s and the beginning of the 2000s. I wonder if these types of malware writers, who have been in hibernation for more than a decade, have suddenly awoken and joined the sophisticated group of threat actors active in the cyberworld. These elite, “old school” malware writers were extremely effective in the past at creating highly complex viruses, and are now combining these skills with the newly advanced sandbox-evading exploits to target government entities or research institutions in several countries.”

“MiniDuke’s highly customized backdoor was written in Assembler and is very small in size, being only 20kb,” added Kaspersky. “The combination of experienced old school malware writers using newly discovered exploits and clever social engineering to compromise high profile targets is extremely dangerous.”

(...)

artigo completo no site da Kaspersky