Mini Duke

Keyfacts

  • entdeckt: 02.2013
  • sicher aktiv: spätestens Juli 2012
  • letzte Aktualisierung: 20.02.2013, C&C-Server vermutlich noch aktiv (Stand 02.2013)
  • Verbreitung: 59 Opfern in 23 Ländern galt – darunter Ziele in Deutschland, Israel, Russland, Großbritannien und USA, teilweise gezielter Angriff auf Regierungsorganisationen (Belgien, Irland, Portugal, Rumänien, Tschechien und der Ukraine wurden gezielt)
  • Infektion und Replikation: gezielt zugesendete, infizierte PDFs in E-Mails mit starkem politischen Kontext, sowie Web-basierte Infektionen durch Sicherheitslücken
  • Hauptziel: Spionage und ggf. Datendiebstahl hochrangiger Organisationen, Personen und Regierungen
  • vermutliche Herkunft: unbekannt, vermutlich staatlicher Hintergrund 

Relevante Dokumente

Die Malware Mini Duke ist ein weiterer Fall von Malware die vermutlich gezielt verwendet wurde um hochrangige Personen und Organisationen gezielt zu infizieren und auszuspionieren. Dafür sprechen die für die Infektion eingesetzten E-Mails mit starken politischem Inhalt die EU-Mitgliedschaft und die Menschenrechtslage der Ukraine betreffend. Die Urheber der MiniDuke-Attacke sind nicht bekannt, lt. der Sicherheits-Firma Kaspersky weisen Code-Bestandteile jedoch auf die Mitglieder einer ehemaligen Virenschreiber-Gruppe („29A“) hin, die keinen  staatlichen Hintergrund haben. Ähnlich wie Duqu verwendet MiniDuke Mechanismen um alle infizierten Rechner und die dort gesammelten Informationen zu identifizieren, in diesem Falle sogar per GEO-IP-Lokalisation den physikalischen Standort zu bestimmen. Um sich einer Entdeckung durch klassische Anti-Viren-Software zu entziehen wurde bei MiniDuke ein sog. polymorpher Compiler verwendet, der alle erstellten MiniDuke-Versionen leicht voneinander unterschiedlich und somit ohne eindeutige, gleiche Signaturen erzeugt.

Ein weiteres interessantes Detail wird in einem Zitat des Kaspersky Gründers Eugene Kaspersky sichtbar:  

„Das ist ein sehr ungewöhnlicher Cyber-Angriff (..) Ich kenne diesen Stil der Programmierung aus den späten 1990er Jahren und um die Jahrtausendwende. Und ich frage mich, warum diese Malware-Autoren, die gleichsam als Schläfer ein Jahrzehnt inaktiv waren, plötzlich aufgewacht sind und sich einer aktuellen Gruppe von Cyberspionen angeschlossen haben.“ (Quelle: golem.de)

Share Button