Opmerkelijke spionagesoftware, die vorig jaar voor het eerst werd ontdekt en zich onder andere op de Belgische overheid richtte, is ook in Nederland actief geweest of nog steeds actief. Het gaat om de MiniDuke-backdoor, die door het anti-virusbedrijf Kaspersky Lab als zeer opmerkelijk wordt omschreven.

De malware is namelijk geschreven in de oude programmeertaal Assembler. Daarnaast gebruikt het een uniek mechanisme om met besmette computers te communiceren, waaronder het gebruik van Twitteraccounts. Als laatste verstuurt het updates door ze in GIF-bestanden te verstoppen, een vorm van steganografie. Verder gebruikt MiniDuke allerlei trucs om detectie te bemoeilijken.

Zo belast de lader van de malware de processor van een aangevallen computer een aantal minuten. Dit maakt niet alleen de analyse lastiger, maar kan ook het functioneren van beveiligingssoftware verstoren. Tevens gebruikt de malware ook een aparte methode om gestolen data te versturen, waarbij de data in kleine pakketjes van 3KB per stuk wordt opgedeeld, die vervolgens worden gecomprimeerd en versleuteld en in een container geplaatst.

Verspreiding

MiniDuke verspreidt zich via e-mailbijlagen, bijvoorbeeld via een document dat misbruik van een beveiligingslek maakt of als een uitvoerbaar bestand dat zich als een document voordoet. Eenmaal geopend kan MiniDuke allerlei soorten bestanden verzamelen en kan het uit een groot aantal programma's wachtwoorden stelen, alsmede toetsaanslagen opslaan.

Na de onthulling van MiniDuke vorig jaar zou de groep achter de malware de luwte hebben opgezocht, maar begin dit jaar zoud de activiteit weer zijn opgevoerd. Naast de oude MiniDuke, die vooral tegen overheidsinstanties is gericht, wordt er ook van een afgeleide variant gebruik gemaakt, genaamd CosmicDuke, die in de programmeertaal C/C++ is geschreven.

Deze malware richt zich tegen een veel grotere groep doelen, zoals energiebedrijven, telecomaanbieders en defensieleveranciers maar ook individuen die zich met de handel in gereguleerde en verboden middelen bezighouden, zoals hormonen en steroïden.

Landen

Op één van de MiniDuke-servers vonden onderzoekers een lijst met landen waar MiniDuke actief is, of is geweest. Het gaat om Australië, België, Frankrijk, Duitsland, Hongarije, Spanje, Oekraïne, de Verenigde Staten en ook Nederland. Slachtoffers in drie van deze landen zouden overheidsinstanties zijn, maar meer details geeft Kaspersky Lab niet.

Het is daardoor onduidelijk wat de impact van de malware in Nederland is en hoeveel organisaties er getroffen zijn. Verder blijft onduidelijk wie de malware heeft ontwikkeld of inzet. Uit de statistieken wanneer de malware is gemaakt blijkt dat de aanvallers vooral door de weeks actief zijn