Aceasta este prima informație publicatã referitoare la folosirea rootkit-ului împotriva unui stat european.
Prezența programului spyware Uroburos, care a fost descoperit de G DATA, în rețeaua unui minister al unui stat UE, a fost doveditã pentru prima datã. Sptãmâna trecutã a apãrut un raport referitor la un atac cibernetic asupra Ministerului belgian de Externe. Jurnaliștii de la ziarul belgian De Standaard au aflat dintr-o sursã apropiatã de serviciile secrete cã programul de spionaj Uroburos a compromis rețeaua instituției guvernamentale. Experții în securitate de la G DATA au emis atenționãri în februarie 2014 despre acest program rootkit extrem de complex și avansat și au indicat potențialul pericol: "Uroburos este proiectat pentru a acționa în rețele mari ce aparțin companiilor private, autoritãților statului, organizațiilor și institutelor de cercetare."
Ce s-a întamplat?
În weekend, Ministerul de Externe belgian a confirmat cã a avut loc un atac cibernetic asupra rețelei informatice. "Informații și documente cu privire la criza din Ucraina" au pãrut a fi sustrase din rețea, conform ministrului belgian de externe, Didier Reynders. Atacul pare a fi avut loc în cursul sãptãmânii trecute. Nimic nu este cunoscut despre protagoniștii atacului, cu excepția faptului cã ar vorbi limba rusã.
Informațiile publicate duc cãtre concluzia cã rootkit-ul Uroburos a fost utilizat în acest atac. Experții G DATA au analizat programul spyware și au descoperit nivelul de complexitate tehnicã al acestuia în februarie 2014.
Informații de bazã despre Uroburos
Rootkit-ul numit Uroburos, descoperit de G DATA, acționeazã autonom și se rãspândește independent în rețelele infectate. Sunt atacate chiar și computerele care nu sunt conectate direct la Internet. În opinia G DATA, pentru a construi un astfel de program sunt necesare investiții subtanțiale în personal și infractructurã. Designul și nivelul ridicat de complexitate al malware-ului dau naștere, prin urmare, la ipoteza cã originile se trag dintr-un serviciu secret. Bazându-se pe detaliile tehnice, precum nume de fișiere, criptare și comportament, s-a suspectat cã Uroburos ar putea proveni din aceeași sursã care a lansat atacul cibernetic asupra SUA în 2008. Programul utilizat atunci s-a numit "Agent.BTZ".
Uroburos este un rootkit compus din douã dosare – un driver și un fișier de sistem virtual criptat. Atacatorii pot folosi acest malware pentru a prelua controlul asupra computerelor infectate, pentru a executa orice cod de program și pentru a-și acoperi acțiunile efectuate. Uroburos este totodatã capabil sã sustrag date și sã înregistreze traficul de date din rețea. Structura modularã le permite atacatorilor sã dezvolte malware-ul prin adãugarea de noi funcionalitãți. Datoritã acestei flexibilitãți și a structurii modulare, G Data îl considerã a fi deosebit de avansat și de periculos.
Analiza rootkit-ului Uroburos poate fi gãsitã pe G DATA SecurityBlog: https://blog.gdatasoftware.com/blog/page/1.html.