Experții G Data au descoperit și analizat un program de spionaj, extrem de sofisticat și complex
- Scris de Bruno
- Published in Stiri Securitate
Experții G Data au descoperit și analizat un program de spionaj, extrem de sofisticat și complex. Acesta a fost proiectat pentru sustragerea de date secrete din rețele importante de calculatoare, precum instituții naționale, servicii de informații sau companii mari.
Rootkit-ul, numit Uroburos, funcționează independent și se răspândește în rețelele infectate. Chiar și computerele care nu sunt conectate direct la Internet, sunt atacate de acest malware. G Data consideră că pentru a construi un astfel de program sunt necesare investiții subtanțiale în personal și infractructură. Designul și nivelul ridicat de complexitate al malware-ului dau naștere, prin urmare, la ipoteza că originile se trag de la un serviciu secret. Bazându-se pe detaliile tehnice, precum nume de fișiere, criptare și comportament, s-a suspectat că Uroburos ar putea proveni din acceași sursă care a lansat atacul cibernetic asupra SUA în 2008. Programul utilizat atunci s-a numit "Agent.BTZ". Furnizorul german de securitate IT estimează că acest spyware a rămas nedetectat de mai mult de trei ani.
Uroburos este un rootkit, compus din două fișiere – un driver și un fișier de sistem virtual, criptat. Atacatorii pot folosi acest malware pentru a prelua controlul asupra computerelor infectate, pentru a executa orice cod de program și pentru a-și acoperi acțiunile efectuate pe un sistem. Uroburos este totodată capabil să sustragă datele și să înregistreze traficul de date din rețea. Structura modulară permite atacatorilor să dezvolte malware-ul prin adăugarea de noi funcționalități. Datorită acestei flexibilități și a structurii modulare, G Data îl consideră a fi deosebit de avansat și de periculos. Experții G Data cred, deasemenea, că programatorii implicați pot fi suspectați de dezvoltatea mai multor programe rootkit avansate, care nu au fost încă descoperite.
Uroburos este proiectat să funcționeze în rețele mari, care aparțin companiilor, autorităților publice, organizațiilor și instituțiilor de cercetare. Malware-ul se răspândește autonom și funcționează în modul "peer-to-peer", protocolul prin care computerele infectate, dintr-o rețea închisă, comunică între ele. Pentru asta, atacatorii au nevoie de un singur computer cu acces la Internet. Modalitatea de acțiune arată că atacatorii au luat în calcul faptul că multe rețele includ adesea și computere care nu sunt conectate la Internet. Computerele infectate spionează documente și alte date și le transferă pe PC-uri cu acces la Internet, de unde sunt transferate de atacatori. Uroburos suportă atât sisteme Microsoft pe 32 bit, cât și pe 64 bit. Analiza arată că atacatorii nu îi vizează pe utilizatorii de Internet obișnuiți. Efortul operațional este justificat doar pentru ținte care merită.
Bazat pe detaliile tehnice, numele fișierelor, criptare și comportament al malware-ului, experții G Data au văzut o conexiune între Uroburos și atacul cibernetic ce a vut loc aspura SUA în 2008 – se presupune că aceeași atacatori ar fi în spatele acestor atacuri și a rootkit-ului ce tocmai a fost descoperit. La vremea respectivă a fost utilizat un program malware numit "Agent.BTZ". Uroburos verifică sistemele infectate pentru a constata dacă malware-ul este deja instalat, caz în care rootkit-ul nu devine activ. G Data a găsit, totodată, indicii că dezvoltatorii ambelor programe sunt vorbitori de limbă rusă.
Rootkit-ul Uroburos este cea mai avansată piesă a unui program malware, pe care experții în securitate de la G Data au analizat-o vreodată. Cel mai vechi driver analizat a fost creat în 2011. Asta înseamnă că această acțiune nu a fost detectată din acea perioadă.
Până acum, nu a fost posibil să se determine cum s-a infiltrat inițial Uroburos într-o rețea de calibru mare. Atacurile puteau fi executate în mai multe feluri, de exemplu, prin atacuri de phishing, infecții drive-by, stick-uri USB sau inginerii sociale.
G Data a numit malware-ul "Uroburos", dupa numele corespunzător folosit în codul sursă. Denumirea are la bază un simbol antic grecesc, al unui șarpe sau al unui dragon care își înghite propria coadă.