Раскрытую на днях кампанию кибершпионажа окрестили MiniDuke. Преступники использовали очередную уязвимость «нулевого дня» в Adobe Reader. От атаки за последние пострадали 59 компьютеров, принадлежащих государственным организациям, научно-исследовательским институтам, аналитическим центрам и частным компаниям.
Кампания была обнаружена и проанализирована экспертами Лаборатории Касперского и лаборатории CrySyS Будапештского университета экономики и технологий. В MiniDuke злоумышленники использовали электронные письма с вредоносными PDF-файлами. Если уязвимость срабатывала, PDF-файлы устанавливали программу, которая зашифровывала и отправляла информацию с пострадавшей системы взломщикам. Любопытно, что она была размером всего лишь в 20 Кб. и написана на Ассемблере — редко встречающееся ныне явление. Программисты были явно «старой закалки».
Программа подключалась к аккаунтам Twitter, которые содержали зашифрованную информацию о четырех сайтах, расположенных в США, Германии, Франции и Швейцарии, выступавших в качестве контрольно-командных серверов. Потом она принимала через них обновление, уникальное для каждой жертвы, после чего хакеры получали возможность выполнять команды на зараженном компьютере.
Впервые аналогичный способ сработал ранее в этом месяце благодаря уязвимости в Adobe Reader 10 и 11, после чего 20 февраля Adobe выпустила обновления и дыра была закрыта. Но новые атаки MiniDuke использовали похожий метод, несколько усовершенствовав его. Можно предположить, по словам представителей Лаборатории Касперского, что эти же хакеры создали и предыдущий метод взлома. Отмечают, что он был гораздо сложнее первого.
По стилю работа напоминает группу авторов вируса 29А, которая считается несуществующей с 2008 года. 29A является шестнадцатеричным представлением числа 666. И кстати, подпись «666» использовалась в предыдущем эксплойте. Но возможно, это просто любопытное совпадение.