Hackers hebben via een recent PDF-gat diverse overheidsinstellingen aangevallen in onder meer België, Ierland en Hongarije. Antivirusbedrijf Kapsersky bekeek de malware (PDF rapport) en noemt de aanval van trojan MiniDuke in één adem met de recente Red October-aanval op Europese ambassades en overheidsinstanties. Daarbij werden sterk verouderde exploits gebruikt. De groep achter de jongste aanval gebruikt echter een splinternieuw gat en geavanceerde, op maat gemaakte malware.

Old-school makers

De onderzoekers ontdekten verwijzingen naar 29A in de code. 29A was een beruchte groep malwareprogrammeurs die vooral in de jaren 90 en het vorige decennium actief waren. Het collectief van beruchte virusprogrammeurs publiceerde regelmatig een tijdschrift online en schreven onder meer de usenetworm Happy99, een van de beruchtste virussen van 1999. De groep zou in 2008 gestopt zijn, maar de verwijzing in de code doet vermoeden dat er op z'n minst door dit tijdperk geïnspireerde malware-auteurs aan het werk zijn.

Ook omdat de malware is geprogrammeerd in assembleertaal noemt Kaspersky de virusschrijvers 'old-school'. “Ik herinner me deze vorm uit het eind van de jaren 90", stelt Eugene Kaspersky in een persbericht. “Het lijkt er op dat dit type malwareschrijvers na een winterslaap van ruim een decennium plotseling zijn ontwaakt en zich hebben aangesloten bij de huidige groep van actieve ontwikkelaars van dreigingen."

Ingang via verse exploit

De hackers hebben een gat in Adobe Reader en Acrobat gebruikt dat vorige week werd gedicht. Een malafide PDF installeert een slimme downloader. Dit piepkleine DLL-bestand wordt versleuteld met informatie van het doelsysteem. De malware werkt dan niet op een ander systeem. Dit heeft als voordeel dat de aanval heel gericht uitgevoerd kan worden en langer onopgemerkt blijft, omdat het virus niet rondwaart op het netwerk.

Het bestandje is bijzonder klein, slechts 22,528 bytes groot. Ook dat is opmerkelijk, omdat de meeste malware een bestandsgrootte heeft van honderden kilobytes of zelfs megabytes. Het programma creëert vervolgens een backdoor die voor elk systeem uniek is. Daarbij zorgt het programma ervoor dat beveiligingsonderzoekers worden ontweken. Zo bevat het programma een lijst met processen die VM's draaien. Als zo'n proces wordt aangetroffen, blijft de malware inactief.

Nadat er een backdoor geopend wordt, gaat het programma op zoek naar een C&C-server. De malware heeft geen lijst van IP-adressen, maar gaat zelf op zoek naar zijn meester op Twitter. De makers posten tweets met een specifieke header waar de malware naar zoekt. De string in de onschuldig ogende tweet over bijvoorbeeld het weer, wijst de malware naar de juiste C&C. Kaspersky ontdekte via Google nog meer websites met deze header en vermoedt dat deze als Plan B dienen, voor het geval de Twitter-accounts niet meer actief zijn.

Vernuftige hackers

De malwaremakers zijn dus goed op de hoogte van de methodes van antivirusfabrikanten om nieuwe virussen te ontdekken en te analyseren. De trojan beperkt zich tot het noodzakelijke systeem, vermijdt analysetools en zoekt via een omweg welke aansturende server hij moet gebruiken.

Wat de malware precies bemachtigt en doorstuurt naar de server is niet bekend. Webwereld heeft daarvoor vragen uitstaan bij Kaspersky. De malware viel antivirusbedrijven op toen FireEye eerder deze maand het zerodaygat dat werd misbruikt onthulde. De auteurs gebruiken social engineering om overheidsfunctionarissen op de malafide documenten te laten klikken, door ze te laten lijken op Navo-rapporten en andere beleidsdocumenten.

Kaspersky waarschuwt dat de groep nog steeds actief is. De laatst aangetroffen versie stamt van 20 februari, dezelfde datum als het gebruikte Adobe-gat werd gedicht. Het bedrijf doet verder geen uitspraken over het specifieke doel van de aanval. Gespeculeerd wordt dat een buitenlandse mogendheid achter de malwarecampagne zit, omdat bewust overheidsinstanties worden geïnfecteerd.