De MiniDuke-malware die tegen verschillende Europese overheidsorganisaties werd ingezet en deze week werd onthuld, blijkt al sinds mei 2012 actief te zijn. Het gaat hier om zeer gerichte malware waarbij er voor elk aangevallen slachtoffer aparte code werd gebruikt. De meest recente exemplaren van MiniDuke verspreiden zich via een beveiligingslek in Adobe Reader.

Het ging om de eerste kwetsbaarheid waar aanvallers uit de sandbox-beveiliging van Adobe Reader wisten te breken. Hoe lang aanvallers het lek hebben gebruikt voordat Adobe met een patch kwam is onbekend. Slachtoffers kregen een PDF-document toegestuurd waarin een exploit verstopt zat. Deze exploit misbruikte twee onbekende lekken in Adobe Reader en Acrobat om een backdoor te installeren.

Old school
"Dit is een zeer ongebruikelijke cyberaanval", liet Eugene Kaspersky eerder al over de malware weten. "Ik herinner me deze vorm uit het eind van de jaren '90. Het lijkt er op dat dit type malwareontwerpers na een winterslaap van ruim een decennium plotseling zijn wakker geworden."

Volgens Kaspersky is de malware het werk van "old school" malware-auteurs, die in het verleden zeer goed waren in het creëren van zeer complexe virussen. Ook het Roemeense anti-virusbedrijf BitDefender noemt de malware "old school".

"Helaas hebben we te maken met het werk van een kleine groep beroepscriminelen, mensen die veel malware voor MiniDuke hebben gemaakt en meer met minder doen", aldus de virusbestrijder. Die maakt een vergelijking met het zeer geavanceerde Flame-virus.

Deze geavanceerde malware was veel complexer en waarschijnlijk ontwikkeld door een groot, competent en goed gemanaged team. Zeer waarschijnlijk gefinancierd en aangestuurd door de Amerikaanse overheid.

Flame
De ontwikkeling van het Flame-virus kostte veel geld. In dat opzicht lijkt MiniDuke meer op een 'hackerproject', laat BitDefender weten. Volgens analist Marius Tivadar is het met een zeer klein budget gemaakt. Het gebrek aan middelen zorgde dat de malware-auteurs een aantal opmerkelijke ontwerpkeuzes maakten.

"De exemplaren die we hebben zijn allemaal aangepast en er is een versleuteld deel dat specifiek voor elke aangevallen machine is ontwikkeld." Er zou echter geen modulair ontwerp zijn, zoals bij Flame en Stuxnet. "Het is echt old-school malware met een aantal moderne punten, zoals het gebruik van Twitter en Google voor het aansturen."

China
Verder onderzoek van BitDefender wees naar een ouder exemplaar van MiniDuke, dat op 21 mei 2012 gecompileerd is. Daarnaast blijkt dat de malware een domein aan te roepen waarop staat hoe laat het in China is. Tivadar merkt op dat dit niets over de aanvallers zegt, maar wel opmerkelijk is. BitDefender heeft inmiddels een gratis verwijdertool voor MiniDuke uitgebracht.