Найдено российское кибероружие, незаметно проработавшее три года

Тема в разделе "Новости информационной безопасности", создана пользователем shestale, 29 апр 2014.

Метки:
  1. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.059
    Симпатии:
    4.488
    Немецкая компания G Data опубликовала отчет о рутките Uroburos, который, по ее мнению, разработан в интересах российских спецслужб, связан с известным трояном Agent.BTZ и проработал незамеченным три года.

    Эксперты ИБ-компании G Data заявили об обнаружении «очень сложной вредоносной программы, предназначенной для похищения конфиденциальной информации». По последовательности символов Ur0bUr()sGotyOu#, найденных в коде руткита, программа получила от первооткрывателей название Uroburos (аллюзия на уроборос, герметический символ в виде змея, пожирающего собственный хвост).

    Руткит Uroburos выделяется из массы подобных шпионских программ, тем, что, по данным отчета G Data, создан и работает в интересах российских спецслужб.

    Сам антивирусный разработчик G Data находится в Германии, в октябре 2012 г. стало известно о приобретении доли 16,3% в нем компанией Натальи Касперской InfoWatch.

    Uroburos способен похищать с зараженных компьютеров файлы и перехватывать их сетевой трафик и, как пишут в G Data, использует несколько хитрых трюков, помогающих хакерам добывать информацию из целевых организаций. Целями Uroburos, согласно исследованию, были крупные предприятия, госструктуры, спецслужбы и т.п.

    Так, например, Uroburos умеет создавать peer-to-peer-сеть из зараженных компьютеров для обмена между ними данными. В удаленном режиме организаторам атаки достаточно захватить только один ПК, имеющий подключение к интернету, чтобы получить доступ и похитить данные из других компьютеров в локальной сети.

    Интересная особенность Uroburos, отмечают в G Data, - это создание и использование им на зараженном ПК для сокрытия своей деятельности двух файловых систем, NTFS и FAT. Стороннему наблюдателю системы видны как зашифрованный файл.

    Организаторы атаки используют эти файловые системы в качестве локального рабочего пространства и могут хранить в них дополнительный инструментарий для атак, временные файлы и двоичные данные. Файловые системы могут быть доступны как устройства \Device\RawDisk1, \Device\RawDisk2, а также как тома \\.\HD1 и \\.\HD2.

    [​IMG]
    Фрагмент кода, по которому получил название Uroburos

    Авторы отчета из G Data отмечают, что раработка такой структуры, как Uroburos потребовала огромных инвестиций, а команда разработчиков этой вредоносной программы, очевидно, состоит из высококвалифицированных ИТ-специалистов, которые сейчас работают над еще более продвинутыми версиями Uroburos.

    По множеству технических характеристик Uroburos - именам файлов, ключам шифрования, поведенческим особенностям и т.п., G Data предположила, что Uroburos разрабатывала та же группа специалистов, которая совершала в 2008 г. атаки на США с помощью вредоносной программы Agent.BTZ. Тогда, напоминают эксперты, атака Agent.BTZ привела к запрету использования USB и съемных носителей в армии США (атака Agent.BTZ распространилась с флэшки, намеренно потеряной на стоянке Минобороны США).

    Согласно исследованию G Data, Uroburos перед установкой в систему проверяет ее на наличие Agent.BTZ, и, если он присутствует, то Uroburos не активируется.

    В качестве доказательства того, что за созданием Uroburos стоят российские разработчики, G Data приводит кириллицу, обнаруженную ей в коде программы. Русский язык применялся и авторами Agent.BTZ.

    Впрочем, отмечает эксперт по информационной безопасности Грэм Клули (Graham Cluley), такие факты не являются стопроцентным доказательством, что за атаку ответственны граждане той или иной страны, не говоря уже о том, что атака организовывалась в интересах ее правительства. С другой стороны, отмечает он, было бы наивно думать, что в мире много стран, которые не пользуются вредоносными программами, уязвимостями и хаками, чтобы шпионить за другими.

    Между тем, пишет эксперт в истории с Uroburos удручает отсутствие деталей. До сих пор неизвестно, как он заражает целевые компьютеры (хотя правдоподобными представляются атаки через USB и электронную почту), кто именно был его жертвами и какие данные могли быть им похищены.

    Однако, главная неприятность, сообщенная G Data, состоит в том, что старейшая версия руткита Uroburos была написана в 2011 г., и это значит, что он работал никем не замеченным на протяжении не менее трех лет.
    источник
     
    Dragokas, orderman, -BiG-BAPBAP и 3 другим нравится это.
  2. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.059
    Симпатии:
    4.488
    Компьютерный вирус атакует украинские сети

    Эксперты отмечают резкий рост атак шпионской программы, в коде которой найден текст на русском языке

    Агрессивный вирус Snake («Змея») атакует десятки телекоммуникационных систем Украины, и число таких атак резко возросло с января 2013 года, сообщают эксперты в области кибербезопасности.

    Международная компания BAE Systems, работающая в сфере безопасности, сообщила в докладе, выпущенном в пятницу, о выявлении 56 случаев атак Snake по всему миру с 2010 года, причем 32 из них были направлены против Украины.
    22 атаки произошли, начиная с прошлого года; часть из них была направлена против сетей украинского правительства.

    По мнению экспертов, вирус, также известный под названием «Уроборос» – по имени мифической змеи, поедающей собственный хвост – позволяет получить беспрепятственный доступ к сетям, в том числе для скрытного ведения слежки или получения контроля над самими системами.

    Разработчик вируса Snake неизвестен, но эксперты утверждают, что операторы вируса, по-видимому, находятся в часовом поясе Москвы, а также что в коде обнаружен текст на русском языке.

    По мнению аналитиков, Snake напоминает Stuxnet – вирус, атаковавший объекты иранской ядерной программы в 2010 году.
    источник
     
    orderman, Sandor, Dragokas и ещё 1-му нравится это.
  3. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.495
    Симпатии:
    4.310
    Интересно, как это они определили часовой пояс, но не определили точную зону.
     

Поделиться этой страницей