Bij de massale cyberaanval MiniDuke zijn overheden van een groot aantal Europese landen gehackt, waaronder de Belgische regering. Het Russische beveiligingsbedrijf Kaspersky Lab maakte woensdag bekend dat een recent ontdekt lek in de populaire PDF-lezer Adobe Reader (CVE-2013-6040) is misbruikt om in te breken bij openbare instellingen in 23 landen. Onder de slachtoffers horen overheidsinstellingen […]

Advertentie

Bij de massale cyberaanval MiniDuke zijn overheden van een groot aantal Europese landen gehackt, waaronder de Belgische regering.

Het Russische beveiligingsbedrijf Kaspersky Lab maakte woensdag bekend dat een recent ontdekt lek in de populaire PDF-lezer Adobe Reader (CVE-2013-6040) is misbruikt om in te breken bij openbare instellingen in 23 landen.

Onder de slachtoffers horen overheidsinstellingen in België, Duitsland, Ierland en Israël. Ook twee denktanks, een onderzoeksinstituut en een zorgverzekeraar in Amerika zijn het slachtoffer geworden van MiniDuke, zo meldt de beveiliger.

Kaspersky zegt dat de auteurs zeer doelgericht te werk zijn gegaan. Zij wisten hun slachtoffers met gerichte valse mails zover te krijgen om een kwaadaardig PDF-bestand te downloaden.

De PDF-teksten verwijzen vooral naar visumaanvragen voor Turkije, maar in sommige gevallen ook naar een aanstaand seminar over mensenrechten en het mogelijke NAVO-lidmaatschap van de Oekraïne.

Vervolgens wordt via een gat in Adobe Reader 9, 10 of 11 de sandboxbeveiliging van dit programma omzeild, waarna een kleine verstekeling (20 KB) op het systeem achterblijft. Dit programmaatje is uniek voor elke besmette machine en is bovendien in staat om te ontdekken of het op een reguliere desktop draait of in een virtuele omgeving als VMWare.

Op maat gemaakte malware
Dit betekent volgens Kaspersky dat de auteurs uitstekend weten dat IT-admins en beveiligers virtuele machines juist gebruiken om malware te ontdekken en onschadelijk te maken. Als MiniDuke ontdekt dat het in een vangnet is terecht gekomen, houdt het zich koest, maar als het heeft vastgesteld dat het op het juiste doelwit terecht is gekomen, begint het direct met het versturen van versleutelde boodschappen.

De malware gebruikt daarbij de Twitter-account van de eigenaars van de besmette machines. Is die niet aanwezig dan gebruiken zij Google Search om naar ‘huis te kunnen bellen.’

Zodra de malwareschrijvers contact hebben gekregen, zullen zij nieuwe malware naar de computer downloaden die zijn vermomd als GIF-afbeeldingen. Met deze hulptroepen kunnen de cybercriminelen bestanden kopiëren of verwijderen, mappen aanmaken of meer krachtige malware binnenhalen.

MiniDuke is van de oude stempel
Kaspersky, dat de aanval samen met het bedrijf CrySys op het spoor kwam, wil niet zeggen welke instellingen zijn getroffen. Maar onderzoeker Boldizsár Bencsáth van CrySys vermoedt wel dat een natiestaat achter de complexe aanval zit, zo zegt hij tegen persbureau Reuters.

Oprichter van Kaspersky Labs, Eugene Kaspersky, noemt MiniDuke een ‘aanval van de oude stempel.’ Hij zegt dat de aanwezigheid van complexe malware die speciaal is afgestemd op specifieke pc’s hem doet denken aan de jaren negentig, toen dit soort arbeidsintensieve aanvallen een stuk gangbaarder waren.

“Deze elite, "old school" malware-auteurs waren in het verleden zeer goed in het creëren van zeer complexe virussen, en combineren deze vaardigheden nu met recent ontdekte sandbox-ontwijkende exploits om overheidsinstanties of onderzoeksinstellingen in verschillende landen aan te vallen", aldus Kaspersky.

Advertentie