MiniDuke malware bespioneert overheden sinds 2011

Eind vorige maand ontdekten antivirusbedrijven MiniDuke, een kwaadaardig malwareprogramma gericht op overheidsinstellingen en instituten. Deze malware is door zeer ervaren malwareschrijvers gemaakt en blijkt nu al sinds eind 2011 actief te zijn geweest.

Volgens Kaspersky is de MiniDuke malware met behulp van een lek in Adobe Reader op computers gezet van medewerkers bij diverse overheids- en zorginstellingen in België, Portugal, Roemenië, Tsjechië, Ierland, Hongarije, Groot Brittannië, de Verenigde Staten en  Oekraïne. Het is niet bekend of Nederlandse instellingen zijn getroffen, deze worden tot nu toe niet genoemd.

Doelgericht
De cyberaanval noemt Kaspersky zeer ongebruikelijk. Het beveiligingsbedrijf denkt dat ervaren hackers uit de jaren negentig de malware hebben geschreven. Deze malwareschrijvers weten precies wat antivirussoftware doet om malware op te sporen, en zijn in staat om zeer complexe virussen te schrijven. De aanvallers gaan daarbij doelgericht te werk. Zo is de malware verborgen in een pdf-bestand gemaild naar medewerkers van overheden. Daarin staat bijvoorbeeld informatie over een mensenrechtenseminar om bij de slachtoffers zo geloofwaardig mogelijk over te komen. Ook is melding gemaakt van een pdf met een geloofwaardig uitziende uitnodiging voor een industriële conferentie die na die tijd ook echt heeft plaatsgevonden. Daarbij hadden de aanvallers de moeite genomen om relevante contacten te vermelden. Zodra de pdf wordt geopend met Adobe Reader 9, 10 of 11 wordt MiniDuke geïnstalleerd op de computer van het slachtoffer.

Flexibel inzetbaar
De malware is een klein bestandje ter grootte van slechts 20 kilobyte, maar bijzonder flexibel inzetbaar. De instructies van de aanvallers worden binnengehaald via geprepareerde accounts op Twitter of via Google Search. Met deze instructies wordt een groter stuk malware binnengehaald dat onder andere is verstopt in een gif-afbeelding. Daarna kunnen de aanvallers bestanden kopiëren of verwijderen, processen beëindigen en nieuwe malware downloaden en installeren.

BitDefender meldt nu dat nader onderzoek uitwijst dat de malware sinds december 2011 in verschillende vormen is verschenen. Daarbij zijn speciaal toegesneden technieken gebruikt om overheidsinstellingen te infecteren, zoals de bovengenoemde aanval met behulp van een gemanipuleerde pdf. De malware is volgens de onderzoekers snel en diep verspreid in systemen aangetroffen van bijna 24 overheidsinstellingen.

Deel dit artikel
Voeg toe aan favorieten