Špionážní malware MiniDuke zřejmě vznikl v roce 2011

BitDefender nejprve objevil vzorek viru MiniDuke pocházející z května 2012. Dalším sledováním jeho cesty se pak dostal ještě o rok dále.

Toto zjištění vnáší do celého případu nové světlo, protože se ukazuje, že skupina útočníků byla aktivní již mnoho měsíců předtím, než došlo k jejímu odhalení.

Na špionážní kampaň v minulém týdnu upozornili výzkumníci Kaspersky Lab, kteří na ni přišli ve spolupráci s maďarskou laboratoří CrySyS. Malware zneužívá nakažených dokumentů PDF k infikování uživatelských zařízení prostřednictvím chyby v prohlížeči Adobe Reader. Adobe již pro tuto zranitelnost vydalo mimořádnou opravnou aktualizaci.

„Za verzí malwaru MiniDuke z roku 2011 stojí stejná skupina, která vytvořila vzorky analyzované výzkumníky v Kaspersky a CrySyS,“ uvedl Stoica Matei Razvan z BitDefender Labs v rozhovoru. BitDefender porovnal vzorky z června 2011, května 2012 a března 2013 a došel k závěru, že jde z velké části o ten samý kód.

Také v případě malwaru z roku 2012 útočníci vir šířili prostřednictvím emailů s přiloženými soubory PDF. Stejně jako nyní tehdejší emailové zprávy obsahovaly důvěryhodně vypadající pozvánky na odborné konference. K autenticitě zpráv přispívaly také skutečné kontakty uvedené v dokumentech.

BitDefender ve verzi z roku 2012 nalezl jistou spojitost s čínským serverem time-server.org, který udává přesný čas pro území Číny. Razvan nicméně jakékoliv zapojení čínských hackerů odmítá. Čínským webem podle něj chtěli útočníci jen odvrátit pozornost na někoho jiného.

Původ viru je tak zatím stále nejasný. Někteří odborníci za ním kromě Číny vidí například někoho z Východní Evropy. Rumunská společnost BitDefender tvrdí, že jde o dílo nějaké vládní organizace. Dosud byly zaznamenány útoky například na NATO a jiné organizace v Evropě nebo USA.

Razvan souhlasí s dřívějším vyjádřením výzkumníků z Kaspersky Lab, podle kterých je MiniDuke sice méně ambiciózní než viry Stuxnet nebo Flame, přesto jde však o velmi sofistikované dílo. Ve srovnání s těmito viry je podle Razvana MiniDuke dílem menší skupiny hackerů. Přesto se jej nevyplatí jakkoli podceňovat.