G Data обнаружили российское кибер-оружие - руткит Uroburos

4/03/2014 10:19

Немецкая компания G Data опубликовала отчет о рутките Uroburos, который, по ее мнению, разработан в интересах российских спецслужб, связан с известным трояном Agent.BTZ и проработал незамеченным три года. Эксперты ИБ-компании G Data заявили об обнаружении «очень сложной вредоносной программы, предназначенной для похищения конфиденциальной информации». По последовательности символов Ur0bUr()sGotyOu#, найденных в коде руткита, программа получила от первооткрывателей название Uroburos (герметический символ в виде змея, пожирающего собственный хвост). Руткит Uroburos выделяется из массы подобных шпионских программ, тем, что, по данным отчета G Data, создан и работает в интересах российских спецслужб. Сам антивирусный разработчик G Data находится в Германии, в октябре 2012 г. стало известно о приобретении доли 16,3% в нем компанией Натальи Касперской InfoWatch. Uroburos способен похищать с зараженных компьютеров файлы и перехватывать их сетевой трафик и, как пишут в G Data, использует несколько хитрых трюков, помогающих хакерам добывать информацию из целевых организаций. Целями Uroburos, согласно исследованию, были крупные предприятия, госструктуры, спецслужбы и т.п. Так, например, Uroburos умеет создавать peer-to-peer-сеть из зараженных компьютеров, для обмена данными между ними. В удаленном режиме организаторам атаки достаточно захватить только один ПК, имеющий подключение к интернету, чтобы получить доступ и похитить данные из других компьютеров в локальной сети. Интересная особенность Uroburos, отмечают в G Data, - это создание и использование им на зараженном ПК для сокрытия своей деятельности двух файловых систем, NTFS и FAT. Стороннему наблюдателю системы видны как зашифрованный файл. Организаторы атаки используют эти файловые системы в качестве локального рабочего пространства и могут хранить в них дополнительный инструментарий для атак, временные файлы и двоичные данные. Файловые системы могут быть доступны как устройства DeviceRawDisk1, DeviceRawDisk2, а также тома .HD1 и .HD2. Авторы отчета из G Data отмечают, что раработка такой структуры, как Uroburos потребовала огромных инвестиций, а команда разработчиков этой вредоносной программы, очевидно, состоит из высококвалифицированных ИТ-специалистов, которые сейчас работают над еще более продвинутыми версиями Uroburos. По множеству технических характеристик Uroburos - именам файлов, ключам шифрования, поведенческим особенностям и т.п., G Data предположила, что Uroburos разрабатывала та же группа специалистов, которая совершала в 2008 г. атаки на США с помощью вредоносной программы Agent.BTZ. Тогда, напоминают эксперты, атака Agent.BTZ привела к запрету использования USB и съемных носителей в армии США (атака Agent.BTZ распространилась с намеренно потеряной флэшки на стоянке Минобороны США). Согласно исследованию G Data, Uroburos перед установкой в систему проверяет ее на наличие Agent.BTZ, и, если он присутствует, то Uroburos не активируется. В качестве доказательства того, что за созданием Uroburos стоят российские разработчики, G Data приводит кириллицу, обнаруженную ей в коде программы. Русский язык применялся и авторами Agent.BTZ.
Источник