Rootkit Uroburos pravděpodobně nechala vytvořit ruská vláda

Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: ScheRas
Datum: 6.3.2014
Hodnocení/Hlasovalo: 2/4

Alespoň to tvrdí odborníci z německé antivirové společnosti G Data, kteří celý rootkit analyzovali.

Rootkit - přezdívaná Uroburos kvůli řetězci nalezeném v jeho kódu - má ovladač a dva šifrované virtuální souborové systémy - jeden NTFS a druhý FAT. Virtuální souborové systémy slouží k uchovávání nástrojů třetích stran, k ukládání nasbíraných dat nebo dočasných souborů.

Uroburos pracuje na všech verzích systémů Windows, umí pracovat v režimu P2P, dokáže krást uživatelská data a zachytávat síťový provoz. Schopnost nakazit další počítače připojené ke stejné síti je dnes téměř samozřejmostí, autoři ovšem naučili tento kus kódu i stáhnout data z počítačů odpojených od internetu na počítač, který má k internetu přístup, a pak všechny data odeslat na server pod kontrolou útočníků. Krom toho se dokáže na nakaženém systému velmi dobře skrýt.


Přesně podle toho kusu kódu ovladače dostal rootkit své jméno.

Výzkumníci ve své zprávě také zdůrazňují, že mnoho technických detailů, jako jsou šifrovací klíče, názvy souborů, chování a podně, napovídá tomu, že by za rootkitem mohli stát stejní lidé, kteří vytvořili malware Agent.BTZ, který se ve svých časech hojně rozšířil v USA. Není také bez zajímavosti to, že v případě, že se na napadeném počítači již nachází Agent.BTZ, Uroburos zůstane neaktivní.

Vzhledem ke složitosti a propracovanosti tohoto škodlivého kódu se zdá, že je zaměřený na vládní cíle, kritickou infrastrukturu a zpravodajské služby. Uvědomíme-li si, že byl rootkit objeven až v současné chvíli a jeden z ovladačů, kteří měli výzkumníci k dispozici, byl zkompilován už někdy v roce 2011, mohl již Uroburos napáchat opravdu mnoho škod. Krom toho stále není známé, jakým způsobem byly cílové sítě vlastně infikovány. Jedna teorie hovoří o průniku skrz Agent.BTZ, ale také mohlo jít o phishingové e-maily, infikované USB klíčenky nebo cokoliv jiného.

Vzhledem k tomu, za jakých geopolitických podmínek se informace objevila, se ale klidně může jednat o obvinění vykonstruované a o práci tajných služeb jiných zemí.