Российская шпионская программа охотится за военными данными
Немецкие эксперты G Data обнаружили высокоразвитый вирус, предположительно российского происхождения, целью которого является кража конфиденциальных данных с компьютеров правительственных организаций США. Атака, похоже, является продолжением вторжения шестилетней давности - Пентагону потребовалось 14 месяцев, чтобы очистить свою сеть.
В 2008 году была обнаружена одна из крупнейших кибератак против США. Акция началась с того, что кто-то «оставил» USB-накопитель на парковке Министерства обороны. В средствах массовой информации содержалось вредоносное ПО Agent.btz, которое заразило военную сеть США и могло открывать лазейки на атакованных машинах и затем пропускать через них данные.
Эксперты AG Data обнаружили новый, еще более продвинутый вирус и говорят, что вредоносное ПО могло быть активным в течение последних трех лет. Код шпионского ПО включает имя Uroburos, которое происходит от древнегреческого символа и изображает дракона, кусающего свой собственный хвост, имея в виду саморефлексию, сложность. Тем не менее, это имя появляется в серии фильмов и видеоигр Resident Evil - это имя вируса, который его создатели хотят использовать, чтобы изменить баланс сил в мире.
Чрезвычайно сложный программный код, использование русского языка и тот факт, что Uroburos не активирован на компьютерах, на которых все еще есть Agent.btz, - все это говорит о том, что это хорошо организованная акция, направленная на удаление военных сетей и получение информации. Вирус способен утечь данные с компьютеров, которые напрямую не подключены к Интернету. Для этого он создает свои собственные каналы связи в сетях, а затем передает данные с машин, не имеющих онлайн-соединения, на те, которые подключаются к всемирной паутине. Более того, это крайне затрудняет определение того, какой из компьютеров в большой сети крадет данные с рабочей станции, не подключенной к всемирной паутине, а затем пересылает их производителям вредоносных программ.
С точки зрения ИТ-архитектуры Uroburos представляет собой так называемый руткит, который создается из двух файлов, драйвера и виртуальной файловой системы. Руткит может управлять зараженным компьютером, выполнять команды и скрывать системные процессы. Благодаря модульной конструкции его можно в любой момент обновить, добавив новые функции, что делает его чрезвычайно опасным. Стиль программирования файла драйвера сложный и сдержанный, что затрудняет идентификацию. Эксперты AG Data подчеркивают, что создание такого вредоносного ПО требует серьезной команды разработчиков и знаний, что также делает вероятным, что это целенаправленная атака. Тот факт, что драйвер и виртуальная файловая система разделены во вредоносном коде, также означает, что только оба имеют структуру руткитов для анализа, что чрезвычайно затрудняет обнаружение Uroburos. Для получения дополнительной информации о технической эксплуатации вредителя а Антивирусный сайт G Data в Венгрии удобочитаемый.
