Rosyjskie oprogramowanie szpiegujące poluje na dane wojskowe
Niemieccy eksperci G Data odkryli wysoce zaawansowanego wirusa, prawdopodobnie pochodzenia rosyjskiego, zaprojektowanego w celu kradzieży poufnych danych z komputerów w organizacjach rządowych USA. Atak wydaje się być kontynuacją włamania sprzed sześciu lat – oczyszczenie sieci zajęło Pentagonowi 14 miesięcy.
W 2008 roku wyszedł na jaw jeden z największych cyberataków na Stany Zjednoczone. Akcja rozpoczęła się od „zostawienia” dysku USB na parkingu Departamentu Obrony. Media zawierały szkodliwe oprogramowanie Agent.btz, które zainfekowało amerykańską sieć wojskową i było w stanie otworzyć tylne drzwi na zaatakowanych maszynach, a następnie przeciekać przez nie dane.
Eksperci z AG Data znaleźli teraz nowego, jeszcze bardziej zaawansowanego wirusa i twierdzą, że złośliwe oprogramowanie mogło być aktywne przez ostatnie trzy lata. Kod oprogramowania szpiegującego zawiera nazwę Uroburos, która pochodzi od starożytnego greckiego symbolu i przedstawia smoka wgryzającego się we własny ogon, odwołując się do autorefleksji, złożoności. Jednak nazwa pojawia się w serii filmów i gier wideo Resident Evil, nazwa wirusa, którego twórcy chcą wykorzystać do zmiany układu sił na świecie.
Niezwykle skomplikowany kod programu, użycie języka rosyjskiego oraz fakt, że Uroburos nie jest aktywowany na komputerach, na których nadal jest Agent.btz, sugerują, że jest to dobrze zorganizowana akcja mająca na celu usunięcie sieci wojskowych, pozyskanie informacji. Wirus potrafi wyciekać dane z komputerów, które nie są bezpośrednio połączone z Internetem. W tym celu buduje własne kanały komunikacyjne w sieciach, a następnie przesyła dane z maszyn, które nie mają połączenia online do tych, które łączą się z siecią WWW. Tym bardziej, że w dużej sieci niezwykle trudno jest dowiedzieć się, który komputer online kradnie dane ze stacji roboczej niepołączonej z siecią WWW, a następnie przekazuje je twórcom złośliwego oprogramowania.
Pod względem architektury informatycznej Uroburos jest tak zwanym rootkitem, który jest tworzony z dwóch plików, sterownika i wirtualnego systemu plików. Rootkit może przejąć kontrolę nad zainfekowanym komputerem, wykonywać polecenia i ukrywać procesy systemowe. Dzięki modułowej konstrukcji można go w każdej chwili zaktualizować o nowe funkcje, co czyni go niezwykle niebezpiecznym. Styl programowania pliku sterownika jest złożony i dyskretny, co utrudnia jego identyfikację. Eksperci AG Data podkreślają, że stworzenie takiego złośliwego oprogramowania wymaga poważnego zespołu programistów i wiedzy, co również sprawia, że jest to atak ukierunkowany. Fakt, że sterownik i wirtualny system plików są oddzielone złośliwym kodem, oznacza również, że tylko oba mają strukturę rootkita do analizy, co bardzo utrudnia wykrycie Uroburos. Więcej informacji na temat technicznego działania szkodnika a Witryna antywirusowa G Data na Węgrzech czytelny.
