Руският шпионски софтуер търси военни данни

Германските експерти на G Data откриха силно напреднал вирус, вероятно от руски произход, който има за цел да открадне поверителни данни от компютри в правителствени организации на САЩ. Атаката изглежда е продължение на нахлуването преди шест години - на Пентагона му бяха нужни 14 месеца, за да изчисти мрежата си.

През 2008 г. една от най-големите кибератаки срещу САЩ излезе наяве. Действието започна с това, че някой „остави“ USB устройство на паркинга на Министерството на отбраната. Медиите съдържаха злонамерения софтуер Agent.btz, който зарази американската военна мрежа и успя да отвори врати на атакуваните машини и след това да изтече данни през тях.

Експерти от AG Data вече са открили нов, още по-напреднал вирус и казват, че зловредният софтуер може да е бил активен през последните три години. Кодът на шпионския софтуер включва името Uroburos, което идва от древногръцки символ и изобразява дракон, ухапващ се в собствената си опашка, отнасящ се до саморефлексията, сложността. Името обаче се появява в поредицата филми и видеоигри Resident Evil, името на вирус, който създателите му искат да използват, за да променят баланса на силите в света.

Изключително сложният програмен код, използването на руски език и фактът, че Uroburos не е активиран на компютри, които все още имат Agent.btz, предполагат, че това е добре организирана акция, насочена към премахване на военни мрежи, получаване на информация. Вирусът може да изтече данни от компютри, които не са пряко свързани с Интернет. За целта той изгражда свои собствени комуникационни канали в мрежите и след това предава данните от машини, които нямат онлайн връзка, към тези, които се свързват с глобалната мрежа. Това, което прави това още повече, е, че в голяма мрежа е изключително трудно да се разбере кой онлайн компютър краде данни от работна станция, която не е свързана с глобалната мрежа, и след това да ги препраща към създателите на зловредния софтуер.

По отношение на своята ИТ архитектура, Uroburos е така нареченият руткит, който се създава от два файла, драйвер и виртуална файлова система. Руткитът може да поеме контрола върху заразен компютър, да изпълнява команди и да скрива системните процеси. Благодарение на модулния си дизайн, той може да бъде актуализиран по всяко време с нови функции, което го прави изключително опасен. Стилът на програмиране на файла с драйвера е сложен и дискретен, което затруднява идентифицирането. Експерти от AG Data подчертават, че създаването на такъв зловреден софтуер изисква сериозен екип от разработчици и познания, което също прави вероятност това да е насочена атака. Фактът, че драйверът и виртуалната файлова система са разделени в злонамерения код, също означава, че само притежаването на двете може да анализира руткит рамката, което прави изключително трудно откриването на Uroburos. За повече информация относно техническата експлоатация на вредителя a G Уебсайт за антивирусни данни в Унгария четлив.