Kaspersky Lab

Nytt geopolitiskt spionvirus upptäckt

Pressmeddelande   •   Feb 27, 2013 15:22 CET

Kaspersky Lab har upptäckt MiniDuke, ett nytt skadligt program utvecklat för spionage riktat mot statliga organ. Programmet använder både traditionella metoder för skadlig kod och nya avancerade sårbarheter i Adobe Reader för att samla in geopolitisk data från känsliga måltavlor.

Kaspersky Lab publicerar idag en forskningsrapport som analyserar en serie säkerhetsincidenter där nyligen upptäckta sårbarheter i Adobe Readers PDF-program har utnyttjats. Det skräddarsydda skadliga programmet har fått namnet MiniDuke och har använts för att attackera ett flertal statliga organ och institutioner över hela världen under den senaste veckan. Experter från Kaspersky Lab har i samarbete med CrySys Lab analyserat attackerna i detalj.

Analysen visar att ett stort antal uppmärksammade mål redan har utsatts för MiniDuke, inklusive statliga organ i Ukraina, Belgien, Portugal, Rumänien, Tjeckien och Irland. Dessutom har ett forskningsinstitut, två tankesmedjor samt vårdgivare i USA drabbats, likaså en framstående forskningsstiftelse i Ungern.

– Detta är en mycket ovanlig cyberattack, säger Eugene Kaspersky, grundare och vd på Kaspersky Lab. Den påminner om den typ av programmering av skadlig kod som förekom i slutet av 90-talet och början av 2000-talet. Jag undrar om dessa programmerare, som har varit passiva i över ett decennium, plötsligt har vaknat till liv och börjat samarbeta med sofistikerade cyberkriminella grupper. Denna elit från gamla skolan var extremt effektiva när det gällde att skapa komplexa virus. Nu kombinerar de sina färdigheter med nya avancerade sårbarheter som kringgår den så kallade sandbox-tekniken, för att attackera statliga organ och forskningsinstitut i ett flertal länder.

Skaparna av MiniDuke är fortfarande aktiva och utvecklade skadlig kod så sent som 20 februari 2013. Attackerna har skett genom distribution av skadliga PDF-dokument med relevant och välgjort innehåll om ett verkligt seminarium för mänskliga rättigheter (ASEM), Ukrainas utrikespolitik och NATOs medlemskapsplaner. Dokumenten innehöll skadlig kod som utnyttjar sårbarheter i Adobe Reader (version 9, 10 och 11) och kringgår programmets sandbox-teknik. Därefter placeras ett litet program på endast 20kb, unikt för varje system, som innehåller en skräddarsydd bakdörr. Programmet
använder en uppsättning matematiska beräkningar för att ta reda på datorns unika fingeravtryck och använder sedan denna data för att kryptera kommunikationen.

Ytterligare läsning:

  • För mer information om hur MiniDuke fungerar läs engelska pressmeddelandet här.
  • Fullständiga rapporten och rekommendationer för att skydda sig mot MiniDuke går att läsa här.
  • Rapporten från CrySys Labs går att läsa här.

Kaspersky Labs system upptäcker och oskadliggör MiniDuke, som betecknas HEUR:Backdoor.Win32.MiniDuke.gen och Backdoor.Win32.Miniduke. Kaspersky Lab upptäcker även sårbarheten i PDF-filerna som betecknas Exploit.JS.Pdfka.giy.


Mediekontakt: Bite Communications, 08-402 01 00, kaspersky@bitepr.se

Om Kaspersky Lab
Kaspersky Lab är världens största privatägda leverantör av klientsäkerhetslösningar. Företaget rankas bland världens fyra främsta leverantörer av säkerhetslösningar för klientanvändare*. Kaspersky Lab har under 15 år varit en innovatör inom IT-säkerhet och förser konsumenter, samt
små och stora företag, med effektiva digitala säkerhetslösningar. Företaget är för nuvarande verksamt i nästan 200 länder och ger skydd åt över 300 miljoner användare över hela världen. Läs mer på www.kaspersky.se.

*
Företaget rankades på fjärde plats i IDC:s Worldwide Endpoint Security Revenue by Vendor, 2011. Rankingen publicerades i IDC:s rapport Worldwide IT Security Products 2012-2016 Forecast and 2011 Vendor Shares (IDC #235930, July 2012). Rapporten rangordnar programleverantörer efter försäljningsintäkter från klientsäkerhetslösningar under 2011.