Το ρωσικό spyware αναζητά στρατιωτικά δεδομένα

Οι Γερμανοί ειδικοί της G Data ανακάλυψαν έναν πολύ προηγμένο ιό, πιθανώς ρωσικής προέλευσης, που στοχεύει να κλέψει εμπιστευτικά δεδομένα από υπολογιστές σε κυβερνητικούς οργανισμούς των ΗΠΑ. Η επίθεση φαίνεται να είναι συνέχεια της εισβολής πριν από έξι χρόνια - χρειάστηκε 14 μήνες για να καθαρίσει το δίκτυο του Πενταγώνου.

Το 2008, μια από τις μεγαλύτερες επιθέσεις στον κυβερνοχώρο εναντίον των Ηνωμένων Πολιτειών ήρθε στο φως. Η δράση ξεκίνησε με κάποιον να "αφήσει" μια μονάδα USB σε χώρο στάθμευσης του Υπουργείου Άμυνας. Τα μέσα ενημέρωσης περιείχαν το κακόβουλο λογισμικό Agent.btz, το οποίο μολύνει το στρατιωτικό δίκτυο των ΗΠΑ και μπόρεσε να ανοίξει πίσω πόρτες στα επιτιθέμενα μηχανήματα και στη συνέχεια να διαρρεύσει δεδομένα μέσω αυτών.

Οι ειδικοί της AG Data βρήκαν τώρα έναν νέο, ακόμη πιο προηγμένο ιό και λένε ότι το κακόβουλο λογισμικό μπορεί να ήταν ενεργό τα τελευταία τρία χρόνια. Ο κώδικας του spyware περιλαμβάνει το όνομα Uroburos, το οποίο προέρχεται από ένα αρχαίο ελληνικό σύμβολο και απεικονίζει έναν δράκο που δαγκώνει στην ουρά του, αναφερόμενος στην αυτοανακάλυψη, την πολυπλοκότητα. Ωστόσο, το όνομα εμφανίζεται στη σειρά ταινιών και βιντεοπαιχνιδιών Resident Evil, το όνομα ενός ιού που οι δημιουργοί του θέλουν να χρησιμοποιήσουν για να αλλάξουν την ισορροπία ισχύος στον κόσμο.

Ο εξαιρετικά περίπλοκος κώδικας προγράμματος, η χρήση της ρωσικής γλώσσας και το γεγονός ότι το Uroburos δεν είναι ενεργοποιημένο σε υπολογιστές που εξακολουθούν να έχουν το Agent.btz δείχνουν ότι πρόκειται για μια καλά οργανωμένη δράση που αποσκοπεί στην αφαίρεση στρατιωτικών δικτύων. Ο ιός έχει τη δυνατότητα διαρροής δεδομένων από υπολογιστές που δεν είναι άμεσα συνδεδεμένοι στο Διαδίκτυο. Για να το κάνει αυτό, δημιουργεί τα δικά του κανάλια επικοινωνίας στα δίκτυα και στη συνέχεια μεταδίδει τα δεδομένα από μηχανήματα που δεν έχουν σύνδεση στο διαδίκτυο με αυτά που συνδέονται με το World Wide Web. Αυτό που το καθιστά ακόμη περισσότερο είναι ότι σε ένα μεγάλο δίκτυο, είναι εξαιρετικά δύσκολο να εντοπιστεί ποιος ηλεκτρονικός υπολογιστής είναι αυτός που κλέβει δεδομένα από έναν σταθμό εργασίας που δεν είναι συνδεδεμένος με τον Παγκόσμιο Ιστό και στη συνέχεια το προωθεί σε δημιουργούς κακόβουλου λογισμικού.

Όσον αφορά την αρχιτεκτονική IT, το Uroburos είναι το λεγόμενο rootkit, το οποίο δημιουργείται από δύο αρχεία, ένα πρόγραμμα οδήγησης και ένα εικονικό σύστημα αρχείων. Ένα rootkit μπορεί να πάρει τον έλεγχο ενός μολυσμένου υπολογιστή, να εκτελέσει εντολές και να κρύψει τις διαδικασίες του συστήματος. Χάρη στον αρθρωτό σχεδιασμό του, μπορεί να ενημερωθεί ανά πάσα στιγμή με νέες δυνατότητες, γεγονός που το καθιστά εξαιρετικά επικίνδυνο. Το στυλ προγραμματισμού του αρχείου προγράμματος οδήγησης είναι περίπλοκο και διακριτικό, καθιστώντας δύσκολη την αναγνώρισή του. Οι ειδικοί της AG Data τονίζουν ότι η δημιουργία ενός τέτοιου κακόβουλου λογισμικού απαιτεί μια σοβαρή ομάδα ανάπτυξης και γνώση, γεγονός που καθιστά επίσης πιθανό ότι είναι μια στοχευμένη επίθεση. Το γεγονός ότι το πρόγραμμα οδήγησης και το εικονικό σύστημα αρχείων χωρίζονται στον κακόβουλο κώδικα σημαίνει επίσης ότι μόνο η κατοχή και των δύο μπορεί να αναλύσει το πλαίσιο rootkit, γεγονός που καθιστά εξαιρετικά δύσκολη την ανίχνευση του Uroburos. Για περισσότερες πληροφορίες σχετικά με την τεχνική λειτουργία του παρασίτου α G Data antivirus website στην Ουγγαρία αναγνώσιμος.