Experten warnen vor Trojaner „MiniDuke“

Der Backdoor-Trojaner „MiniDuke“ verbreitet sich seit spätestens Juni 2012 weltweit über speziell präparierte PDF-Dateien, deren Inhalt sich unter anderem mit Menschenrechtsfragen oder auch den NATO-Beitrittsplänen der Ukraine auseinandersetzt. Allen PDFs gemeinsam ist eine sinnvolle Dateinamensgebung.

Entdeckt wurde der Schädling vom ungarische Sicherheitslabor CrySys Lab und dem russischen Sicherheitsunternehmen Kaspersky Lab. Nach den Analysen nutzt „MiniDuke“ eine bereits gepatchte Sicherheitslücke mit der CVE-Nummer 2013-0640 in der Sandbox der Adobe-Reader-Versionen 9, 10 und 11 für seine Angriffe aus. Übertragen wird der Schädling über infizierte PDF-Dateien, die vermeintlich wichtigen und seriösen Ursprungs sind. Werden diese von einem Opfer geöffnet, lädt das darin enthaltene 22 KByte kleine Assembler-Programm über das Netz weiteren Schadcode nach.

Der damit infizierte Rechner verbindet sich schließlich mit Twitter oder Google und baut darüber wiederum eine Verbindung zu den Kontrollservern in Panama und der Türkei auf. Über Twitter lädt der Trojaner verschlüsselte Tweets, mit Anweisungen, die weiteren Code abrufen. Die Verbindung zu Google ermöglicht eine Backup-Verbindung, falls der Zugriff auf den Twitter-Account gesperrt wird. Der geladene Schadcode stammt offenbar von länger nicht mehr aktualisierten Servern in Deutschland, Frankreich, der Schweiz und den USA.

Zur Verschleierung nutzt der Schadcode einen polymorphen Compiler. Dieser ist in der Lage, in minütlichen Abständen neue Varianten des Trojaners zu generieren. So kommt es, dass keiner der bisher entdeckten Schädlinge identisch ist. Das macht eine Signaturerkennung per Virenscan im Prinzip unmöglich. Erkennbar ist eine infizierte PDF-Datei lediglich an der Zeichenfolge „@34fZ7E*p \“. Die verschlüsselten und ausführbaren Codes, die der Schädling über eine Backdoor einschleust, tarnen sich als unscheinbare GIF-Dateien. Außerdem ist er in der Lage, Analysewerkzeuge wie Wireshark oder Tcpdump abzuwehren, indem er beim ersten Analyseversuch jede Aktivität einstellt.

Derzeit sind die Kontrollserver noch aktiv. Die Analyse der Log-Dateien ergab, dass bislang 59 Rechner in 23 Ländern wie Deutschland, Israel, Russland, Großbritannien und USA, Belgien, Irland, Portugal, Rumänien, Tschechien und der Ukraine angegriffen wurden.

Wer die Autoren des Trojaners sind, ist bislang nicht abschließend geklärt. Allerdings gibt es laut Kaspersky Hinweise auf Mitglieder der Hackergruppe 29A, die bereits 2008 aufgelöst wurde. Denn im Quelltext des Schädlings fanden die Sicherheitsexperten die Zahl „666“, was im hexadezimalen Zahlensystem dem Code-Namen der Hackergruppe entspricht.