Der ukrainische MiniDuke


miniduke

Ungefähr vor einem Jahr wurde die MiniDuke-Malware in einer gezielten Kampagne gegen europäische Regierungen entdeckt. Diese Woche erschienen Berichte, dass die Malware wieder – als PDFs, die sich auf die Ukraine beziehen und nie an die Öffentlichkeit geraten sollten, getarnt – in Umlauf ist.

MiniDuke-Hintergrund

Beim ersten Auftreten wurde MiniDuke von vielen als bizzarer, fortgeschrittener Schritt Richtung Malware wahrgenommen. MiniDuke wurde in Maschinensprache geschrieben, was eine extrem kleine – und unverdächtige – Dateigröße erlaubte. Zur selben Zeit verband es sich mit Twitter und Google um Anweisungen zu erhalten, wo aktualisierte Hintertürchen zu finden sind. Einmal mit schadhaften CnCs verbunden, wurden Updates in Form von steganographisch verschlüsselten Bilddateien heruntergeladen, die eine unbemerkte Infektion erlaubten. Damals, als MiniDuke entdeckt wurde, dachte man, es wäre die Arbeit eines routinierten Profis, und der Fakt, dass er speziell Regierungscomputer zum Ziel hatte war alarmierend.

MiniDuke-Infektion

Während MiniDukes technische Details zweifellos ziemlich fortschrittlich sind, hängt die anfängliche Infektion von einem einfachen Akt des Social Engineering ab: das Opfer dazu bringen, ein gefälschtes PDF zu öffnen. Das PDF kann in Form eines offiziell-scheinenden Dokument per E-Mail gesendet werden, oder bei gezielteren Angriffen auf einem USB-Speichermedium platziert werden, das irgendwie den Weg in einen Anschluss des Zielcomputers findet. In beiden Fällen hängt der Erfolg des Angreifers von unauffälliger Infiltration ab. MiniDuke muss installiert werden, ohne Verdacht zu schöpfen.

Der MiniDuke der Ukraine ist ein Social Engineer

Für Malware-Autoren bedeutet die Infektion eines PCs eines Regierungsmitarbeiters eine höchst riskante, höchst belohnte Situation dar und in den meisten Fällen ist sie extrem gezielt. Die meisten Regierungen setzen sehr strenge Sicherheitsrichtlinien durch und die meisten Regierungsmitarbeiter sind geschult, Verdacht bei unaufgeforderten E-Mails oder Aufforderungen, ein Dokument auf ihrem Computer auszudrucken. Angreifer kommen trotzdem durch; und dieser Kurs bringt uns zu MiniDukes letzter Inkarnation.

Die Malware hat Bedenken verursacht, weil die gefälschten PDFs ihren Ursprung in der Ukraine haben. Die meisten Dokumente wurden von öffentlich zugänglichen Quellen bezogen und relevant scheinen lassen von wem auch immer sie gesendet wurden; aber ein Dokument im bestimmten enthält die Unterschrift von Ruslan Demchenko, dem stellvertretenden Außenminister der Ukraine. Dieses Dokument wurde nie öffentlich zugänglich gemacht.

Die Implikationen der letzten MiniDuke-Kampagne sind zweierlei:

  1. Wer auch immer die gefälschten PDFs empfängt, öffnet sie eher, ungeachtet ihrer Schulung, einfach weil die aktuelle Krise in der Ukraine in Jedermanns Kopf ist.
  2. Wer auch immer die gefälschten PDFs erstellt hat, könnte bereits Insider-Zugang zum ukrainischen Regierungsnetzwerk haben.

Beide dieser Schlüsse sprechen für die Natur der Malware-Ausbreitung im Allgemeinen und können Einsicht in einen Computer-Benutzer bieten, ungeachtet dessen, ob der Computer denn besetzt ist oder nicht. Social Engineering funktioniert für gewöhnlich am besten, wenn es aktuelle Ereignisse behandelt oder bekannt ist, dass das Ziel daran beteiligt ist. Und wenn das Risiko hoch ist, sind Insider-Verbindungen üblich. Für persönliche Benutzer heißt das nicht, dass Freunde Freunde mit zielgerichteter Malware; aber es bezieht sich zur steigend sozialen Natur des Webs und schlägt vor, dass jeder achtsam ist, wen sie in ihre Sozialkreise „hineinlassen“. Gezielte Attacken funktionieren, weil Angreifer mit Zielen ihre Nachforschungen betreiben und das Minimieren der Menge von persönlichen Informationen, die man im Web veröffentlicht ist ein wichtiger Schritt um Identitätsdiebstahl zu verhindern.

MiniDuke und Emsisoft

Glücklicherweise sind die meisten Emsisoft-Benutzer nicht in Gefahr, durch MiniDuke infiziert zu werden, einfach weil die Malware meistens in gezielten Attacken gegen Regierungsmitarbeiter verbreitet wird. Nichtsdestotrotz erkennt Emsisoft Anti-Malware Minidukes Abwerfer und MiniDukes Ladung, einfach weil Malware Malware ist – egal, auf wen sie zielt oder woher sie kommt.

Also, egal, ob sie Regierungsmitarbeiter, Zivilist oder komplett virtuell sind, haben sie einen schönen (Malware-freien) Tag!

 

Senan Conrad

Weitere Artikel