G Data a descoperit un program suspectat a proveni de la servicii secrete
Experții G Data au descoperit și analizat un program de spionaj extrem de sofisticat și complex. Acesta a fost proiectat pentru sustragerea de date secrete sensibile din rețele de calculatoare cu potențial, precum instituții naționale, servicii de informații sau companii mari. Rootkit-ul, numit Uroburos, funcționează independent și se răspândește în rețelele infectate. Chiar și computerele care nu sunt conectate direct la Internet, sunt atacate de acest malware. G Data consideră că pentru a construi un astfel de program sunt necesare investiții subtanțiale în personal și infractructură. Designul și nivelul ridicat de complexitate al malware-ului dau nastere, prin urmare, la ipoteza că originile se trag de la un serviciu secret. Bazându-se pe detaliile tehnice, precum nume de fișiere, criptare și comportament, s-a suspectat că Uroburos ar putea proveni din acceași sursă care a lansat atacul cibernetic asupra SUA în 2008. Programul utilizat atunci s-a numit "Agent.BTZ". Furnizorul german de securitate IT estimează că acest spyware a rămas nedetectat de mai mult de trei ani. Experții de la G Data SecurityLabs au publicat detalii suplimentare și o analiză amănunțită ce poate fi descărcată de pe acest link.
Ce este Uroburos?
Uroburos este un rootkit care este compus din două fișiere – un driver și un fișier de sistem virtual criptat. Atacatorii pot folosi acest malware pentru a prelua controlul asupra computerelor infectate, pentru a executa orice cod de program și pentru a-și acoperi acțiunile efectuate pe un sistem. Uroburos este totodată capabil să sustragă datele și să înregistreze traficul de date din rețea. Structura modulară permite atacatorilor să dezvolte malware-ul prin adăugarea de noi funcționalități.
Datorită acestei flexibilități și a structurii modulare, G Data îl consideră a fi deosebit de avansat și de periculos.
Complexitatea tehnologică indică origini ale unor servicii secrete
Complexitatea și designul rootkit-ului Uroburos confirmă malware-ul ca fiind foarte sofisticat și costisitor de dezvoltat. G Data crede ca au fost implicați dezvoltatori foarte bine pregătiți. Providerul german deduce că nu infractorii cibernetici sunt responsabili de dezvoltarea programului și crede că în spatele Uroburos stă un serviciu secret. Experții G Data cred, deasemenea, că programatorii implicați pot fi suspectați de dezvoltatea mai multor programe rootkit avansate, care nu au fost înca descoperite.
Uroburos este proiectat să funcționeze în rețele mari aparținând companiilor, autorităților publice, organizațiilor și instituțiilor de cercetare: malware se răspândește autonom și funcționează în modul "peer-to-peer", unde computerele infectate dintr-o rețea închisă comunică între ele. Pentru asta, atacatorii au nevoie de un singur computer cu acces la Internet. Modalitatea de acțiune arată că atacatorii au luat în calcul faptul că multe rețele includ adesea și computere care nu sunt conectate la Internet. Computerele infectate spionează documente și alte date și le transferă pe computere cu acces la Internet, de unde sunt transferate de atacatori. Uroburos suportă atât sisteme Microsoft cu 32 bit, cât și cu 64 bit.
Este suspectată o legatură între atacul rusesc asupra SUA
Bazat pe detaliile tehnice, numele fișierelor, criptare și comportament al malware-ului, experții G Data au văzut o conexiune între Uroburos și atacul cibernetic ce a vut loc aspura SUA în 2008 – se presupune că aceeași atacatori ar fi în spatele acestor atacuri și a rootkit-ului ce tocmai a fost descoperit. La vremea respectivă, a fost utilizat un program malware numit "Agent.BTZ". Uroburos verifică sistemele infectate pentru a constata dacă malware-ul este deja instalat, caz în care rootkit-ul nu devine activ. G Data a găsit, totodată, indicii că dezvoltatorii ambelor programe sunt vorbitori de limbă rusă.
Analiza arată că atacatorii nu îi vizează pe utilizatorii de Internet obișnuiți. Efortul operațional este justificat doar pentru ținte care merită, de exemplu, companii foarte mari, instituții guvernamentale, servicii secrete, organizații și alte obiective similare.
Probabil nedetectat de mai mult de trei ani
Rootkit-ul Uroburos este cea mai avansată piesă a unui program malware pe care experții în securitate de la G Data au analizat-o vreodată. Cel mai vechi driver analizat a fost creat în 2011. Asta înseamnă că această acțiune nu a fost detectată din acea perioadă.
Vectorul de infectare rămâne un mister
Până acum, nu a fost posibil să se determine cum s-a infiltrat inițial Uroburos într-o rețea de calibru mare. Atacurile puteau fi executate în mai multe feluri, de exemplu, prin atacuri de phishing, infecții drive-by, stick-uri USB sau inginerii sociale.
Ce reprezentă denumirea malware-ului?
G Data a numit malware-ul "Uroburos" dupa numele corespunzător folosit în codul sursă. Denumirea are la bază un simbol antic grecesc al unui șarpe sau al unui dragon care își înghite propria coadă.
{mosloadposition user9}