MiniDuke: Hochspezialisierte Malware zielt auf Entscheider

Ein "MiniDuke" getaufter Trojaner soll gezielt Rechner internationaler Regierungseinrichtungen und Firmen ausgespäht haben. Die Malware infizierte Rechner über eine im Dezember bekanntgewordene Lücke in der Sandbox-Funktion des Adobe Reader (CVE-2013-0640).

Die Angreifer gingen offenbar sehr geschickt vor: Die gefälschten PDFs enthielten unter anderem angebliche Informationen zu Menschenrechtsfragen und den NATO-Beitrittsplänen der Ukraine und trugen sinnvolle Dateinamen.

Der Code innerhalb der PDF-Datei lädt weiteren Schadcode aus dem Netz nach. Dabei soll es sich um ein nur 22 kByte kleines Programm handeln, das in Assembler-Code geschrieben ist. Der Inhalt der Malware wurde durch einen polymorphen Compiler verschleiert, der alle paar Minuten eine neue Variante des Schädlings ausspucken konnte. Da alle bisher gefundenen Samples des Trojaners unterschiedlich sind, hat eine reine Signaturerkennung keine Chance, den Schädling zu finden. Mit dem Schadcode versehene PDFs lassen sich hingegen anhand der Zeichenfolge "@34fZ7E*p \" erkennen.

Deutliche Gemeinsamkeiten fanden die Entdecker des Trojaners, das ungarische Sicherheitslabor CrySys Lab und der russische Virenschutzhersteller Kaspersky Lab, hingegen bei der Funktionsweise. Infizierte Rechner bauen gleich nach dem Befall Verbindungen zu Google und Twitter auf. Beide dienen zum Verbindungsaufbau mit den Kontrollservern. Bei Twitter ruft die Malware in Tweets verschlüsselte Anweisungen ab, anhand deren zusätzlicher Code heruntergeladen wird. Google dient offenbar als Backup für den Fall, dass einer der Twitter-Accounts gesperrt wird.

Die Backdoor lädt eine verschlüsselte ausführbare Datei nach, die mit einem GIF-Header getarnt ist – für einen Dateibetrachter wie IrfanView sieht sie wie ein harmloses Icon aus. Weiterhin bestimmt der Trojaner über den Dienst Geo IP Tool, wo der befallene Rechner steht. Ausgewählte Rechner haben eine andere Trojaner-Variante erhalten.

Jeder Opfer-PC erhält eine eigene ID, anhand derer die Kontrollserver ihn wiedererkennen. Kaspersky zufolge sind die Server in Panama und in der Türkei angesiedelt. Die beobachteten Malware-Samples luden Schadcode von kompromittierten Servern in Deutschland, Frankreich, der Schweiz und den USA nach – darunter eine arabische Online-Buchhandlung, eine Esoterik-Schule, eine Consulting-Firma sowie eine Vereinigung von Maschinenherstellern. Die einzige offensichtliche Gemeinsamkeit der Domains liegt darin, dass die Betreiber ihre Web-Präsenzen offenbar schon länger nicht mehr aktualisiert haben.

Die PDF-Berichte von CrySys Lab und Kaspersky Lab enthalten zahlreiche weitere Details zum Ablauf des Malware-Befalls. Aus dem Bericht von Kaspersky geht hervor, dass die Angriffe spätestens im Juni 2012 begonnen haben. Die Kontrollserver sind aktuell noch aktiv. Aus deren Log-Dateien schließen die Sicherheitsforscher, dass der hochspezialisierte Angriff 59 Opfern in 23 Ländern galt – darunter Ziele in Deutschland, Israel, Russland, Großbritannien und USA. In Belgien, Irland, Portugal, Rumänien, Tschechien und der Ukraine wurden gezielt Regierungsorganisationen angegriffen.

Die Urheber des Hacker-Angriffs sind derzeit noch unbekannt. Dem Kaspersky-Bericht zufolge gibt es Indizien dafür, dass der Trojaner von Mitgliedern der 2008 aufgelösten Virenschreibergruppe 29A entwickelt wurde: Im Quelltext der Malware findet sich die Zahlenfolge "666" – im hexadezimalen Zahlensystem der Code-Name der berüchtigten Malware-Schreiber. (ghi)