2. Hírek
  3. Biztonság

Újabb állami kémprogramot elemzett a magyar CrySyS Lab

A Kaspersky Labs és a velük szoros együttműködésben dolgozó, a BME-n tevékenykedő CrySyS Lab ma közölték legújabb kutatásuk eredményeit, melyek egy kifinomult, feltehetően állami célokat szolgáló (vagy bűnözők által állami intézmények ellen bevetett) malware leírását tartalmazzák, egy olyan kódét, mely Magyarországon is megfertőzte legalább egy – nem nevesített – szervezet rendszerét.

A malware-re a Kaspersky munkatársai figyeltek fel februárban. A FireEye február 12-én jelentette be, hogy egy (azóta már befoltozott) nulladik napi sebezhetőséget találtak az Adobe Readerben, a Kasperskynél e biztonsági rés vizsgálatakor találtak rá az ismeretlen szoftver nyomaira. Az új malware-t a (CrySyS Lab által felfedezett Duqura utalva) először „itaDuke-nak” nevezték el a kódban található Dante-idézetek miatt, majd végül a MiniDuke nevet kapta.

Ezek után mind a Kaspersky, mind a CrySyS Lab elkezdte elemezni a malware-t, a magyar cég ugyanis hazánkban is rálelt egy általa megfertőzött rendszerre.

miniduke crysys lab
Részlet a CrySyS Lab jelentéséből

A Kaspersky általánosságban írja le a malware, illetve az üzemeltető rendszer működését. Ezek szerint a malware bejuttatására egy fertőzött pdf-dokumentumot használnak, melynek megnyitására különféle social engineering technikákkal veszik rá a kiszemelt áldozatot. Ezek után egy pici, alig 20 kilobájtos downloader elindítja a telepítést. És itt jön az első érdekes momentum: a szoftver a Twitteren keresztül jut hozzá az irányító szerverek url-jeihez. Ezeket a Twitter-fiókokat az irányítók, a Command and Control (C2) szerverek operátorai készítik el. Az is külön érdekesség, hogy a következő C2-höz való hozzáférést a Google keresőjének segítségével találják meg. A hátsó ajtó kiépítése ezek után egy gif-kép segítségével folytatódik, majd a gép hozzákapcsolódik két szerverhez (az egyik Panamában, a másik Törökországban található), és ezek után kész fogadni az irányítók utasításait: mit nézzen meg, mit másoljon le, mit küldjön el nekik.

A Kaspersky eddig 23 országban 59 egyedi rendszert talált, melyet a MiniDuke megfertőzött.

A CrySyS Lab elemzése során a fentebb ismertetett folyamatból a többfázisú település részleteit vizsgálta, így ezeket az ismereteket, a magyar informatikusok munkájának köszönhetjük. Eredményeiket egy rövidebb blogbejegyzésben ismertették, de közzétették a teljes kutatási anyagot is.

Azóta történt

Előzmények