Nový virus útočí na vládní instituce, také v Česku

Bezpečnostní výzkumníci nové kyberšpionážní kampani přičítají 59 zneužitých počítačů patřících převážně vládním organizacím, výzkumným institucím, think-tankům a soukromým společnostem. Na nový typ malwaru přišli vědci z Kaspersky Lab ve spolupráci s budapešťskou univerzitní laboratoří CrySyS.

MiniDuke, jak byl malware nazván, se šíří prostřednictvím emailových zpráv obsahujících infikovaný soubor ve formátu PDF. Využívá přitom zranitelnosti, pro kterou již pár dní existuje opravná aktualizace. Díky této zranitelnosti virus dokáže obejít ochranu sandbox prohlížeče Adobe Reader verzí 10 a 11.

Infikované soubory PDF jsou vždy součástí důvěryhodně vypadajících zpráv informujících své adresáty například o plánovaném lidskoprávním summitu ASEM, plánech Ukrajiny na vstup do NATO nebo Arménské ekonomické asociaci. V případě, že dojde ke spuštění souboru, malware se dostane do počítače a zahájí svou činnost.

Po instalaci první části škodlivého kódu obsažené v souboru PDF se malware připojí na určité účty sociální sítě Twitter, které obsahují zašifrované příkazy vedoucí na čtveřici webových stránek, které se chovají jako řídící servery typu C&C. Tyto stránky obsahují zašifrovaný soubor ve formátu GIF, který obsahuje druhou část škodlivého kódu. Tento kód se po své instalaci opět připojí na řídící server a stáhne poslední část malwaru, která je již pro každou oběť unikátní.

Zajímavou vlastností malwaru je to, že jeho velikost je pouhých 20 kB a celý byl napsán v assembleru, což je metoda, kterou tvůrci virů používají jen velmi zřídka. Podle výzkumníků by se proto dalo říct, že útočníci jsou ze staré školy.

MiniDuke působí po celém světě. Výzkumníci jej vystopovali do Německa, Izraele, Japonska, Ruska, Velké Británie, USA nebo také do České republiky. MiniDuke sice není tak sofistikovaný jako nechvalně proslulé viry Flame nebo Stuxnet, přesto je na velmi vysoké úrovni. Vědcům se zatím nepodařilo zjistit, z jaké oblasti útočníci pocházejí ani s jakými úmysly vir šíří.