MiniDuke bespioneert overheidsinstellingen wereldwijd

© CIDimport

MiniDuke bespioneert overheidsinstellingen wereldwijd

Geplaatst: 28 februari 2013 - 14:10

Aangepast: 27 augustus 2022 - 04:36

Redactie ID.nl

De virus- en malwarebestrijder Kaspersky heeft in samenwerking met CrySys Lab de backdoor MiniDuke gevonden, een nieuw kwaadaardig programma dat door zeer ervaren malwareschrijvers is gemaa

De virus- en malwarebestrijder Kaspersky heeft in samenwerking met CrySys Lab de backdoor MiniDuke gevonden, een nieuw kwaadaardig programma dat door zeer ervaren malwareschrijvers is gemaakt. Met MiniDuke werden afgelopen week wereldwijd meerdere overheidsinstellingen en instituten bespioneerd.

Internet is bijzonder handig, maar kan ook heel gevaarlijk zijn voor bedrijven of overheden. De MiniDuke malware is met behulp van een lek in Adobe Reader op computers geplaatst van medewerkers bij overheids- en zorginstellingen die onder andere zijn gevestigd in de Oekraïne, België, Portugal, Roemenië, Tsjechië, Ierland, Hongarije en de Verenigde Staten. Nederlandse instellingen worden niet door de beveiligingsonderzoekers genoemd.

Zeer ongebruikelijk

De cyberaanval wordt door Kaspersky zeer ongebruikelijk genoemd, en doet het beveiligingsbedrijf denken aan de malware uit de jaren negentig. MiniDuke is door zeer ervaren malwareschrijvers ontwikkeld, die precies weten wat antivirussoftware doet om malware te detecteren. 'Het lijkt er op dat dit type malwareontwerpers na een winterslaap van ruim een decennium plotseling zijn ontwaakt en zich hebben aangesloten bij de huidige groep van actieve dreigingsontwikkelaars. Deze elitaire, old school malware-auteurs waren in het verleden zeer goed in het creëren van zeer complexe virussen, en combineren deze vaardigheden nu met recent ontdekte sandbox-ontwijkende exploits om overheidsinstanties of onderzoeksinstellingen in verschillende landen aan te vallen.'

Verborgen in pdf

Het is heel belangrijk om software als Adobe Reader regelmatig te updaten om gaten te dichten. MiniDuke is verborgen in een pdf-bestand met informatie over een mensenrechtenseminar en plannen over het buitenlands beleid van de Oekraïne en het Navo-lidmaatschap. Als Als de pdf wordt geopend met Adobe Reader 9, 10, of 11 dan wordt MiniDuke geïnstalleerd op de computer van het slachtoffer.

De kwaadaardige software is een bestandje van maar 20 kilobyte, maar bijzonder flexibel inzetbaar. Bijzonder is dat de malware de instructies van de aanvallers binnenhaalt via geprepareerde accounts op Twitter of via Google Search. Via deze instructies kan onder andere een groter stuk malware worden binnengehaald dat verstopt zit in bijvoorbeeld een gif-afbeelding. Vervolgens kunnen de aanvallers bestanden kopiëren, verplaatsen of verwijderen, een directory aanmaken, processen beëindigen en nieuwe malware downloaden en installeren. De instructies worden ontvangen via servers die in Panama en Turkije staan.

Meer informatie is te vinden op het blog van Securelist.

Deel dit artikel
Voeg toe aan favorieten