MiniDuke est de retour

Par:
fredericmazue

mar, 08/07/2014 - 11:37

MiniDuke est un malware particulièrement puissant, qui a été découvert en février 2013. A l'époque, il exploitait une faille dans le format PDF et déposait des backdoors sur les machines attaquées. Les entités gouvernementales et les  institutions étaient particulièrement ciblées par les attaques.

Techniquement parlant, MiniDuke se faisait remarquer par sa petite taille d'à peine 20Ko et son efficacité. Ecrit en assembleur, il était considéré comme étant l'oeuvre de programmeurs très chevronnés, travaillant à l'ancienne.

Selon les chercheurs de Kaspersky Lab, non seulement MiniDuke n'a pas totalement disparu, mais il est de retour sous la forme d'une nouvelle plate-forme MiniDuke, appelée BotGenStudio. Toujours selon ces chercheurs, cette nouvelle plate-forme pourrait non seulement être utilisée par des cybercriminels dans le cadre d’attaques ciblées, mais également par des forces de l’ordre et des criminels traditionnels.

La nouvelle vague d’attaques enregistrée en 2014 présente des spécificités différentes par rapport à ce qui se voyait en 2013 :

Mode opératoire

La nouvelle backdoor principale de MiniDuke (appelé TinyBaron ou CosmicDuke) est codée grâce à un framework personnalisable appelé BotGenStudio. Il est suffisamment flexible pour activer ou désactiver des composants lorsque le bot est construit. Les composants peuvent être divisés en 3 groupes : persistance (le malware peut se lancer via Windows Task Scheduler), reconnaissance (le malware peut voler un grand nombre d’informations) et exfiltration (le malware dépose plusieurs connecteurs réseaux pour aspirer les données)

Typologie de cibles

Alors qu’en 2013 MiniDuke était utilisé pour cibler des entités gouvernementales, la nouvelle version CosmicDuke cible également les organisations diplomatiques, le secteur de l’énergie, les opérateurs télécoms, des prestataires dans l’armée mais également des individus impliqués dans la vente et le trafic de substance illicites (notamment des stéroïdes et des hormones).

Zones géographiques ciblées

Les utilisateurs des anciens serveurs MiniDuke ciblent la France, l’Australie, la Belgique, l’Allemagne, la Hongrie, les Pays-Bas, l’Espagne, l’Ukraine et les Etats-Unis. CosmicDuke est plutôt intéressé par la Grande Bretagne, les Etats Unis, la Géorgie, la Russie, le Kazakhstan, l’Inde, le Belarus, Chypre, l’Ukraine et la Lituanie.

Amusant, Les cybercriminels qui utilisent cette plate-forme ne semblent plus être les cybercriminels à l'ancienne, geeks, qui codaient en assembleur. Ils travaillent désormais comme des salariés du lundi au vendredi avec des horaires normaux : de 7h à 20h CET, sachant que la majeure partie du travail est réalisée entre 7h et 17h. Ils ne codent plus  en assembleur, mais en C/C++ selon Kaspersky qui a analysé le code de BotGenStudio :-)