Soluzioni tecniche

Attenzione al malware MiniDuke: struttura vecchio stile, cattiveria modernissima

01 Marzo 2013

Con toni un po' da guerra fredda è assurto agli onori della cronaca MiniDuke, un cyber attacco che avrebbe interessato una ventina di nazioni in cui, secondo gli esperti di sicurezza, gli hacker hanno cercato di rubare informazioni di intelligence geopolitica.

I bersagli sarebbero enti governativi, istituti di ricerca, istituzioni sanitarie e think tank.
Sembra quindi che l'obiettivo sia molto mirato e che noi comuni mortali possiamo stare tranquilli.

Nondimeno è interessante conoscere qualche cosa di più su questo malware che viene definito "della vecchia scuola" dagli esperti di sicurezza perché ricorda le caratteristiche di infiltrazione di agenti degli anni '90.
Infatti, pur essendone tutti molto contenti, è ben strano che appaia un agente con queste caratteristiche di virulenza e in un attimo tutti i maggiori produttori di antivirus riescano a isolarlo.
O è una manovra diversiva oppure sentiremo ancora parlare di MiniDuke.

MiniDuke è polimorfico, cioè ce ne sono migliaia di versioni differenti e sfrutta alcune vulnerabilità di Acrobat Reader, nelle versioni 9, 10 e 11.
Ancora una volta sottolineiamo di patchare SEMPRE Acrobat per ridurre i rischi.

Aprendo un documento PDF l'agente si installa sulla macchina. Dopodiché non fa nulla fino al successivo reboot .
Solo a questo punto comincia l'attività rendendo più difficile ricostruire quale azione possa avere causato l'infezione.

Anzitutto si copia numerose volte in diversi punti del file system rendendo la rimozione abbastanza complessa.
Dopodiché si connette a diversi server di Comando e Controllo (server C&C)  per scaricare le istruzioni circa che cosa fare.
Per maggiori dettagli su questo tipo di struttura suggerisco, tra le altre, questa pagina di Wikipedia.
Mi limito a riassumere e semplificare dicendo che si tratta di server che, in maniera simile ai comandi della guerra "vera", istruiscono il malware circa le azioni da intraprendere. Insomma danno ordini e contrordini.
In altre parole, una volta compromessa una macchina, gli hacker sono in grado di copiare e spostare i file sui propri server, creare nuove directory, uccidere i processi e installare altri malware.

La comunicazione tra l'agente e i server avviene mediante backdoors i cui indirizzi URL cifrati vengono diffusi mediante Twitter e Google; così come viene impiegato Google per trovare nuovi server di comando e controllo qualora quelli esistenti fossero tirati giù.

Il payload, cioè quanto viene scaricato dai server C&C, è nascosto all'interno di file in formato GIF.

PS
Ringrazio l'ineffabile Furio per il supporto su alcuni passaggi

Autore
Andrea Veca
Sono nato nel 1967 a Milano dove ho frequentato con successo le elementari di via Stoppani. Qualche anno dopo, nel 1992, mi sono laureato in ingegneria elettronica, al Politecnico di Milano. Nel frattempo ho conseguito un master presso il centro Cefriel nell'area Network Systems; spiegare agli stranieri come il diploma di master sia arrivato prima della laurea è sempre motivo di grande divertimento. In attesa di servire lo Stato ho trascorso qualche mese a Vienna, lavorando per la società di consulenza Austroconsult (che bella Vienna, chi vi dice che è una città morta non ci è mai stato). Alla fine lo Stato l'ho servito e sono stato ufficiale di complemento in Marina: un anno a Roma a occuparmi di sicurezza dell'informazione, anzi di come sfondare l'altrui sicurezza dell'informazione (che bella Roma, chi vi dice che non è la città più bella del mondo non ci è mai stato). Congedatomi nel 1994 ho costituito Achab il 19 luglio insieme ad alcuni amici. Visione chiara, richiamo della missione, do or die, opportunità da non perdere? Macché: puro caso e poche idee (confuse). Verso la fine del 1998 padroneggiavo il concetto di fattura quando è cominciato il delirio dot com che ci ha fatto trascorrere due o tre anni pieni di follia e divertimento. Due tentativi di acquisizione, la possibile entrata nel capitale di una merchant bank (qualche giorno prima dell'undici settembre abbiamo pensato che non fosse il caso di concludere: è andata bene a entrambi) e una pletora di progetti assurdi in cui si lanciava con grande spregio dei fondamentali. Nel 2003 ci si è dati tutti una calmata. Nel 2007 ho costituito una nuova società, CiDica, destinata a rivoluzionare il modo in cui si erogavano i servizi IT. Ero fermamente determinato a non ripetere gli errori commessi ai tempi della nascita di Achab. E ho mantenuto questa promessa; in compenso ne ho fatto una valanga di altri per cui, visti i cieli plumbei del 2008, ho pensato di liquidare il tutto prima che qualcuno si facesse male. Oggi continuo a lavorare in Achab con grande soddisfazione. Lavoro attivamente a RadioAchab, il podcast per chi si occupa di IT. Appena posso vado a parlare da chi ha voglia di ascoltarmi. Se ti serve un keynote speaker, fammi un fischio. Mi trovi su LinkedInFacebook e Twitter. 31/1/2020: a Pontedera per festeggiare i quarant'anni di PC System Andrea Veca keynote speaker per i 40 anni di PC System 30/1/2020: a Cesenatico a parlare di Comanaged IT a #TCON2020, organizzata da T-Consulting Andrea Veca keynote speaker a TCon2020 organizzata da T-Consulting
Commenti (0)

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.