Kaspersky Lab araştırmacıları, 2013 yılındaki eski stil Miniduke eklentilerinin yine gündeme geldiğini ve hükümetlerle diğer kuruluşları hedef alan aktif kampanyalarda kullanıldığını keşfetti.
Miniduke APT aktörleri kampanyayı durdurduğu halde, ya da en azından yoğunluğunu azaltmalarına rağmen, Kaspersky Lab’ın iş ortağı CrySyS Lab ile birlikte geçtiğimiz yıl yaptığı duyuru sonrasında, 2014’ün ilk aylarında saldırılarına yeniden başladılar. Kaspersky Lab uzmanları bu sefer saldırganların yöntemleri ve kullandıkları araçlarda değişiklikler olduğunu fark etti.
2013 yılında açığa çıktıktan sonra Miniduke‘nin arkasındaki aktör, çok sayıda farklı bilgi çeşitlerini çalma yeteneği olan başka bir özel arka kapı kullanmaya başladı. Kötü amaçlı bu uygulama, dosya bilgileri, simgeler ve hatta dosya boyutu dahil olmak üzere arka planda çalışmak için tasarlanmış popüler uygulamaları ele geçiriyor.
Benzersiz özellikler
“Yeni” Miniduke‘nin ana arka kapısı (diğer adıyla TinyBaron veya CosmicDuke), bot oluştururkenki bileşenleri etkinleştirme veya devre dışı bırakma esnekliğine sahip BotGenStudio adında özelleştirilebilir bir çerçeve kullanılarak derlendi. Kötü amaçlı yazılım, çeşitli bilgileri çalabilme yeteneğine sahip. Arka kapının şunlar da dahil olmak üzere diğer birçok yeteneği mevcut: tuş kaydedici, genel ağ bilgilerini ele geçirme, ekran tutucu, pano tutucu; Microsoft Outlook, Windows Adres Defteri hırsızı; Skype, Google Chrome, Google Talk, Opera, TheBat!, Firefox, Thunderbird parola hırsızı; Korumalı Depolama gizli bilgilerini ele geçirme, Sertifika/özel tuşları dışa aktarma, vb.
Kötü amaçlı bu yazılım, FTP yoluyla veri yüklemek ve HTTP iletişim mekanizmalarının üç değişik türevi dahil olmak üzere, veriyi gizlice ele geçirmek için birkaç ağ konektörü kullanıyor. Ele geçirilen verilerin depolanması da MiniDuke’nin dikkat çeken bir başka özelliği. Bir dosya, C&C sunucusuna yüklenirken, sunucuya yüklenmek üzere sıkıştırılan, şifrelenen ve bir kapsayıcıya yerleştirilen küçük parçalara (yaklaşık 3 Kb) bölünüyor. MiniDuke’nin her kurbanına özel bir kimlik atanıyor, böylece belirli güncellemelerin tek bir kurbana iletilmesi sağlanıyor.
Analizler sırasında Kaspersky Lab uzmanları, CosmicDuke komut ve kontrol sunucularından (C&C) birinin kopyasını ele geçirmeyi başardı. Bunun yalnızca CosmicDuke aktörleri ve zararlı yazılımın bulaştığı bilgisayarlar arasındaki iletişim için değil, aynı zamanda potansiyel hedeflere ulaşmalarını sağlayabilecek her şeyi toplama hedefi ile İnternet üzerindeki diğer sunuculara izinsiz giriş yapan grup üyeleri tarafından, diğer operasyonlar için de kullanıldığı görüldü.
Kurbanları değişti
Eski stil Miniduke eklentileri çoğunlukla devlet kurumlarını hedef almak için kullanılırken, yeni stil CosmicDuke eklentilerinin, ilginç bir şekilde, kurban tipolojisi değişmiş durumda. Hükümetler dışında kurbanlar arasında, diplomatik kuruluşlar, enerji sektörü, telekom operatörleri, askeri yükleniciler ve kontrole tabi yasadışı maddelerin trafiğinde ve satışında yer alan kişiler var.
Kaspersky Lab uzmanları, CosmicDuke ve eski stil Miniduke sunucularının her ikisini de analiz etti. İkincisinin analiz sonuçlarına göre Kaspersky Lab uzmanları, kurbanların ve ülkelerinin bir listesini çıkarmayı başardı. Uzmanlar, eski stil Miniduke sunucularını kullananların Avustralya, Belçika, Fransa, Almanya, Macaristan, Hollanda, İspanya, Ukrayna ve Amerika Birleşik Devletleri’ndeki hedeflerle ilgilendiklerini ortaya çıkardı. Bu ülkelerin en az üçündeki kurbanlar “hükümet” kategorisine ait.
Analiz edilen CosmicDuke sunucularından birisi, Nisan 2012 tarihinden itibaren başlayan uzun bir kurban listesine (139 benzersiz IP) sahip. Coğrafi dağılım ve en iyi 10 ülke açısından bakıldığında, kurbanlar Gürcistan, Rusya, ABD, İngiltere, Kazakistan, Hindistan, Belarus, Kıbrıs, Ukrayna ve Litvanya’da bulunuyor. Saldırganlar ayrıca operasyonlarını Azerbaycan Cumhuriyeti, Yunanistan ve Ukrayna’daki taranmış IP aralıklarına ve sunucularına kadar genişletmek konusunda hevesliler.
