De beruchte malware MiniDuke is zijn grenzen aan het verleggen. In plaats van militaire spionage wordt een nieuwe generatie van deze cybercrimetool ingezet voor algemene informatiediefstal. Nederland is 1 van de 9 landen die nu op de korrel worden genomen.
De eerste generatie MiniDuke-malware werd al begin vorig jaar blootgelegd door Kaspersky Lab. Uitgebreid onderzoek heeft deze stille cyberdreiging, een zogeheten advanced persistent threat (APT), toen ontleed. Als gevolg zijn de lopende aanvallen met deze cybercrimetool afgenomen of zelfs stopgezet. Maar sinds begin dit jaar is de malafide activiteit met MiniDuke toch weer opgelaaid. Daarbij doet de ‘oude’ malware nog dienst, maar is er ook sprake van een nieuwe generatie.
Voor de nieuwste generatie is de technisch geavanceerde code van het origineel aangepast en gecombineerd met een ander stuk malware: Cosmu. Onderzoekers van de Finse securityleverancier F-Secure belichten de technische details van de nieuwste variant van MiniDuke, die de naam CosmicDuke krijgt, eerder deze week in een blogpost.
Uit analyse door de experts van Kaspersky blijkt dat overheden een interessant doelwit blijven voor cybercriminelen, maar ook bedrijven winnen terrein. Eerder was Nederland al één van de zwaar getroffen landen van de Dorifel-malware die het Pobelka-botnet heeft aangelegd om daarlangs zeker 750 gigabyte aan data van gemeenten en bedrijven ongemerkt te stelen.
De nieuwe malware CosmicDuke verlegt ook de grenzen. Waar de vorige generatie MiniDuke-malware bedoeld was om overheden te infiltreren en daar informatie te stelen, mikt de nieuwe generatie daarnaast op reguliere bedrijven. Dit valt op te maken uit het gebruik van een nep-zakenvoorstel waarbij dat document het eerste deel van de malware binnenbrengt. Securityleverancier Eset noemt het hierbij gebruikte bestand Proposal-Cover-Sheet-English.rtf nogal saai in vergelijking met de politiek getinte boodschappen die bij de aanvallen van vorig jaar zijn ingezet.
Uit het toolgebruik van de MiniDuke/CosmicDuke-aanvallers blijkt verder dat zij met name op werkdagen actief zijn, het grootste deel van de activiteiten vindt plaats tussen 06:00 uur ‘s ochtends en 16:00 ‘s middags. De nieuwe generatie van deze malware bestaat niet langer geheel uit technisch complexe code (geschreven in assembler). Het is aangevuld met code die is geschreven in heel gewone programmeertalen (C/C++). Het vermoeden bestaat dan ook dat deze aanvallers niet langer de oorspronkelijke en technisch hoogbegaafde MiniDuke-gebruikers zijn.