Gereputeerde organisaties erin geluisd door grappige kantoorchimpansees

Utrecht, 23 april 2014 – Kaspersky Labs Global Research & Analysis Team heeft een rapport gepubliceerd waarin wordt beschreven hoe een nieuwe, geavanceerde cyberspionagecampagne malware gebruikt om zeer specifieke, gereputeerde entiteiten aan te vallen. Mogelijk behoren tot de doelwitten in de VS het Witte Huis en het State Department (het Amerikaanse Ministerie van Buitenlandse Zaken), terwijl ook overheidsorganisaties en commerciële organisaties in Duitsland, Zuid-Korea en Oezbekistan zijn aangevallen.

Naast het feit dat de dreigingsactor zich zeer precies richtte op bijzonder in het oog lopende slachtoffers, vertoont het nog meer verontrustende en tegelijk fascinerende kenmerken. Hiertoe behoren het gebruik van cryptografie en anti-detectiemogelijkheden. De code zoekt bijvoorbeeld naar de aanwezigheid van verschillende beveiligingsproducten in een poging om deze te ontwijken. Het gaat hierbij om producten van Kaspersky Lab, Sophos, DrWeb, Avira, Crystal en Comodo Dragon.

Verbinding met andere cyberspionage-actors
Kaspersky Labs veiligheidsdeskundigen ontdekten in deze toolset sterk kwaadaardige programmafunctionaliteit, evenals structurele gelijkenissen die overeenkomen met de MiniDuke, CosmicDuke en OnionDuke cyberspionagecampagnes; operaties waarvan men, op basis van een aantal indicatoren, veronderstelt dat deze worden beheerd door Russischtalige auteurs. Uit observaties van Kaspersky Lab blijkt dat MiniDuke en CosmicDuke nog steeds actief zijn en zich richten op diplomatieke organisaties/ambassades, energie-, olie- en gasbedrijven, telecombedrijven, defensie en academische/onderzoeksinstellingen in een aantal landen.

Verspreidingsmethode
De CozyDuke-actor stuurt vaak spearphishing e-mails naar doelwitten met daarin een link naar een gehackte website – soms naar gereputeerde, legitieme sites zoals ‘diplomacy.pl’ – die host zijn voor een met malware volgestopt ZIP-archief. In andere, zeer succesvolle pogingen verstuurt deze actor nep flash-video’s waarin schadelijke uitvoerbare bestanden zijn opgenomen als e-mailbijlagen. Een voorbeeld hiervan is de “Office Monkeys LOL Video.zip” (zie afb. 1).

CozyDuke maakt gebruik van een backdoor en een dropper. Het schadelijke programma stuurt informatie over het doelwit naar de command & control server en haalt configuratiebestanden en aanvullende modules op die eventuele extra functionaliteit implementeren die de aanvallers nodig hebben.

“We houden zowel MiniDuke als CosmicDuke al enkele jaren in het oog. Kaspersky Lab waarschuwde in 2013 als eerste voor MiniDuke-aanvallen; de “oudste” samples voor deze cyberdreiging gaan terug tot 2008. CozyDuke is absoluut verbonden aan deze twee campagnes, net als aan de OnionDuke cyberspionage-operatie. Elk van deze dreigingsactors blijft hun doelwitten volgen, en wij zijn van mening dat hun spionageprogramma’s alle zijn gemaakt en worden beheerd door Russischtaligen”, zegt Kurt Baumgartner, Principal Security Researcher bij Kaspersky Labs Global Research & Analysis Team.

Producten van Kaspersky Lab detecteren alle bekende samples en beschermen gebruikers tegen deze dreiging.

Tips voor gebruikers
• Open geen bijlages en links van afzenders die u niet kent.
• Scan uw pc regelmatig met een geavanceerde antimalware-oplossing.
• Pas op voor ZIP-archieven die SFX-bestanden bevatten.
• Probeer bijlagen bij twijfel te openen in een sandbox.
• Zorg ervoor dat u een modern besturingssysteem hebt geïnstalleerd, inclusief alle patches.
• Update alle toepassingen van derden, zoals Microsoft Office, Java, Adobe Flash Player en Adobe Reader.

Lees voor meer informatie over de “CozyDuke” operatie de blog op Securelist.com.