Ráadásul a Miniduke új platformját, a BotGenStudio-t nem csupán az APT stílusú támadók, hanem a rendvédelmi szervek és a hagyományos bűnözők is igénybe vehetik.
Habár a Miniduke APT üzemeltetője leállította a kampányát, vagy legalábbis csökkentette annak intenzitását a Kasperky Lab és partnere a CrySyS Lab tavalyi bejelentésének hatására, 2014 elején ismét teljes erővel folytatta a támadásokat. A Kaspersky Lab szakértői ezúttal változásokat észleltek a támadás módjában és a felhasznált eszközökben.
A 2013-as felfedezést követően a Miniduke mögött álló hackerek egy másik egyedi backdoort kezdtek el használni, amely képes többféle információ ellopására, és a malware népszerű alkalmazásokat utánoz.
Az „új” fő Miniduke backdoor (TinyBaron vagy CosmicDuke néven is ismert) a testreszabható BotGenStudio keretrendszert használja, amely rendelkezik a komponensek be- vagy kikapcsolását lehetővé tévő rugalmassággal a bot létrehozásakor. A malware képes többféle információ ellopására. A backdoor sokféle alkalmazást tud megvalósítani/utánozni, amelyek között megtalálható egy keylogger, egy általános hálózatiadat-gyűjtő, egy képernyő- és vágólap-lopó, a Microsoft Outlook, egy Windows Address Book lopó, egy jelszólopó a Skype-hoz, a Google Chrome, a Google Talk, az Opera, a TheBat!, a Firefox, a Thunderbird, egy Protected Storage adatlopó, valamint egy tanúsítvány/privát kulcs exportáló.
A malware többféle hálózati kapcsolatot valósít meg az adatok kivonására: FTP-vel való feltöltést, valamint háromféle HTTP kommunikációs módszert. A kivont adatok tárolását ugyancsak érdekes módon oldja meg a Miniduke. Amikor egy fájlt feltölt a C&C szerverre, azt kis (3 KB-os méretű) darabokra szabdalja, amelyeket tömörít, titkosít és több különböző konténerben helyez el, s ezeket egymástól függetlenül tölti fel. Az utófeldolgozásnak ezek a rétegei garantálják, hogy nagyon kevés kutató lesz képes megtalálni az eredeti adatokat.
A Miniduke minden egyes áldozata egyedi azonosítót kap, ami lehetővé teszi speciális frissítések eljuttatását az adott áldozathoz. Az önvédelem érdekében a malware fejlett technikákat használ annak érdekében, hogy a vírusellenes programok ne tudják analizálni az implantátumot.
C&C szerverek – kettős cél. A vizsgálat során a Kaspersky Lab szakértőinek sikerült megszerezniük az egyik CosmicDuke parancs és vezérlő (C&C) szerver egy példányát. Úgy tűnik ezt nem csak a CosmicDuke-ot üzemeltetők és a fertőzött PC-k közötti kommunikációra használták, hanem más műveletekre is, így például más internetes szerverek feltörésére azzal a céllal, hogy mindenféle olyan információt összegyűjtsenek, amely potenciális célpontokhoz vezethet. Ennek érdekében a C&C szervert felszerelték egy sor nyilvánosan elérhető hacker eszközzel a webhelyeken lévő sérülékenységek felkutatásához és kihasználásához.
Áldozatok. Érdekes módon míg a korábbi Miniduke implantátumokkal főként a kormányzati szervezeteket célozták, addig az új típusú CosmicDuke implantátumuk áldozati köre kibővült. Bekerültek a diplomáciai szervezetek, az energiaszektor, a telekom cégek, a katonai beszállítók, valamint az illegális és ellenőrzött anyagok forgalmazásával és értékesítésével foglalkozó személyek.
A Kaspersky Lab szakértői mind a CosmicDuke, mind a régebbi Miniduke szervereket elemezték. Az utóbbiakról sikerült megszerezniük az áldozatok nevét és tartózkodási helyét, így kiderült, hogy a malware korábbi változatával a hackerek ausztráliai, belgiumi, franciaországi, németországi, magyarországi, hollandiai, spanyolországi, ukrajnai és egyesült államokbeli célpontokat támadtak. Ezek közül legalább három országban az áldozatok a kormányzati szektorhoz tartoznak.
Az egyik analizált CosmicDuke szerveren ugyancsak hosszú áldozati listát találtak (139 egyedi IP-címet) 2012 áprilisától kezdődően. A legtöbb áldozatnak otthont adó országok tízes toplistája a következő: Grúzia, Oroszország, Egyesült Államok, Nagy-Britannia, Kazahsztán, India, Belorusz, Ciprus, Ukrajna, Litvánia. A támadók ki akarták terjeszteni tevékenységüket, ezért potenciális áldozatok IP-címeit gyűjtötték be Azerbajdzsánból, Görögországból és Ukrajnából.
Dealerek a célkeresztben. A legszokatlanabb áldozatok azok a személyek voltak, akik illegális és ellenőrzött szerek – szteroidok és hormonok – forgalmazásával és eladásával foglalkoznak. Ilyen típusú áldozatokat csak Oroszországban találtak.
„Némileg szokatlan, hogy magánszemélyek is célpontba kerültek – ha APT-ről hallunk, hajlamosak vagyunk arra gondolni, hogy kormányok által támogatott kiberkémkedési kampányról van szó. Két magyarázatot találtunk. Az egyik lehetőség az, hogy a Miniduke-nál használt BotGenStudio malware platform úgynevezett „legális kémeszközként” ugyancsak elérhető, hasonlóan a HackingTeam-féle RCS-hez, amelyet széles körben használnak a rendvédelmi szervek. Egy másik lehetőség, hogy könnyen hozzáférhető a feketepiacon, és a gyógyszeripari cégek megvásárolták a riválisaik elleni kémkedéshez” – nyilatkozta Vitaly Kamluk, a Kaspersky Lab globális kutató és elemző csapatának vezető biztonsági kutatója.
