Uroburos – rosyjski zaawansowany wirus rządowy

3 marca, 2014

Eksperci bezpieczeństwa z laboratorium G Data w Bochum zidentyfikowali wyrafinowany oraz wysoce złożony spyware, przygotowany najprawdopodobniej przez rządowych programistów. Oprogramowanie zaprojektowano celem wykradania najbardziej poufnych danych z sieci komputerowych o wysokim potencjale i wartości przechowywanych w nich informacji. Są to przede wszystkim instytucje rządowe, służby wywiadowcze czy duże międzynarodowe korporacje.

Rootkit określany jako Uroburos działa w pełni automatycznie rozprzestrzeniając się w zaatakowanej sieci samodzielnie. Komputery nie posiadające bezpośredniego dostępu do internetu, także mogą stać się celem jego ataku. Specjaliści z G Data są przekonani, że stworzenie takiego malware’u wymagało ogromnych inwestycji w kadry oraz samą infrastrukturę. Sam projekt oraz wysoce zaawansowana budowa opisywanego złośliwego oprogramowania pozwala upatrywać źródeł jego pochodzenia w kręgach związanych ze służbami specjalnymi i agencjami rządowymi zajmującymi się bezpieczeństwem.

Na podstawie detali technicznych jak nazewnictwo plików, szyfrowanie czy zachowania samego softu można wnioskować, że za Uroburosem stoją sprawcy cyberataku na USA z 2008 roku. Do ataku na sieci wojskowe wykorzystano wtedy malware o nazwie Agent.BTZ. Eksperci G Data szacują, że złośliwe oprogramowanie szpiegujące mogło pozostawać w ukryciu przez ostatnie 3 lata! Wyczerpujący opis działania Uroburosa zostanie opublikowany na stronie www.gdata.pl, gdy tylko zakończą się pracę nad jego szczegółową analizą.

Czym jest Uroburos?

Uroburos to rootkit składający się z dwóch plików – sterownika oraz zaszyfrowanego wirtualnego systemu plików. Prowadzący atak może użyć złośliwego oprogramowania do przejęcia kontroli nad zainfekowanym komputerem, zdalnie wykonać kod dowolnego programu, by następnie zamaskować swoje działania w zainfekowanym systemie.

Uroburos jest również zdolny do kradzieży danych oraz monitorowania ruchu sieciowego.

Modułowa struktura pozwala twórcom na dokonywanie rozszerzeń dodających nowe funkcjonalności. Właśnie ze względu na swoją elastyczność i modułowość budowy specjaliści z G Data określają Uroburosa jako niezwykle zaawansowany i niebezpieczny malware.

Skomplikowana budowa wskazuje na tajne służby.

Złożoność oraz konstrukcja Uroburosa świadczy o ogromnych kosztach poniesionych podczas jego tworzenia, co pozwoliło na osiągnięcia tak wysokiego poziomu zaawansowania. Cyberprzestępcy czy nawet największe zorganizowane grupy przestępcze działające w sieci nie byłyby w stanie sprostać takiemu wyzwaniu, wszelkie tropy prowadzą do tajnych służb lub innych agencji rządowych. Jednego możemy być pewni odkrywając tajemnice Uroburosa, że jego twórcy mogli opracować jeszcze bardziej skomplikowany kod, którego dotychczas nie odkryto.

Uroburos został zaprojektowany do działania w olbrzymich sieciach należących do korporacji, jednostek rządowych, organizacji lub jednostek badawczych. Rootkit rozprzestrzenia się w sposób niezależnydziałając w trybie P2P dzięki czemu zainfekowane komputery w zaatakowanej sieci komunikują się ze sobą. Atakującym wystarczy jedynie jeden komputer, tzw. „styk” z dostępem do internetu. Model ataku pokazuje, że odpowiedzialni za Uroburosa liczyli się z sytuacją kiedy to atakowana sieć obejmuję komputery nie posiadające podłączenia do internetu. Tłumaczy to szpiegowane wszystkich stacji klienckich w sieci. Po zdobyciu interesujących sprawców danych, przesyłane są one do innego zaatakowanego komputera posiadającego dostęp do sieci, a następnie eksportowane są do serwera kontrolowanego przez dokonujących ataku. Uroburos działa na systemach 32 i 64 bitowych od Microsoftu.

Powiązanie z atakami na USA z 2008 roku.

Za rootkitem Uroburos stoją najprawdopodobniej Ci sami sprawcy co za atakami na sieć wojskową USA CENTCOM z 2008 roku. Wykorzystano wtedy szkodliwe oprogramowanie o nazwie agent.BTZ. Uroburos sprawdza atakowaną maszynę pod kątem jego zawartości. Jeżeli złośliwe oprogramowanie agent.BTZ jest już zainstalowane na atakowanym komputerze odstępuje od zaplanowanych działań. Specjaliści G Data Software podczas analizy pliku natrafili na wskazówki mówiące, że twórcy rootkita komunikują się w języku rosyjskim.

Od samego początku celem nie był zwykły użytkownik internetu. Wysiłki towarzyszące stworzeniu Uroburosa mogą być uzasadnione jedynie jego przeznaczeniem, którym jest atak na wysoce wartościowe cele jak sieci dużych korporacji, służb wywiadowczych, instytucji publicznych, organizacji i tym podobnych.

Niewykryty przez ponad 3 lata!

Uroburos jest najbardziej zaawansowanym szkodliwym plikiem z jakim eksperci bezpieczeństwa G Data SecurityLabs mieli kiedykolwiek do czynienia. Najstarszy sterownik na, który natrafiono podczas analizy został opracowany w 2011 roku. Data ta wskazuje na moment od którego szkodliwe oprogramowanie działało w ukryciu.

urubus

Wektor ataku wciąż nieznany

Jak do tej pory nie było możliwe ustalenie w jaki sposób Uroburos przenikał do atakowanych sieci. Specjaliści analizujący działanie rootkita biorą pod uwagę atak typu spear phishing, infekcje drive-by-download lub wymyślny atak socjotechniczny.

źródło: G Data

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]