Istallazioni militari, agenzie governative e grandi imprese nel mirino dei cyber criminali. Come accadde nel 2008 in Usa con il malware Agent.BTZ.
Gli esperti di sicurezza di G Data hanno scoperto e analizzato un sofisticatissimo e complesso spyware. Questo software è stato progettato per rubare informazioni segrete altamente sensibili su network di primaria importanza quali quelli di istituzioni governative, servizi di intelligence e gradi aziende. Il rootkit, chiamato “Uroburos”, lavora in modo autonomo e si diffonde da solo nelle reti infette. Perfino i computer che non sono direttamente connessi a Internet vengono attaccati da questo malware. G Data ritiene che sviluppare questo tipo di software richieda sostanziali investimenti sia in termini di personale che di infrastruttura. Il design e l’alto livello di complessità del malware lasciano presumere che sia stato sviluppato da dei servizi segreti. Basato su dettagli tecnici come nomi di file, crittazione, software behaviour, si sospetta che Uroburos possa provenire dalla stessa fonte che aveva già lanciato un cyber attacco contro gli Stati Uniti nel 2008. Il quell’occasione fu usato il malware chiamato “Agent.BTZ. G Data stima che questo spyware sia rimasto non identificato per almeno tre anni.
Una dettagliata analisi tecnica è disponibile qui: https://www.gdata.de/rdk/dl-en-rp-Uroburos
Che cos’è Uroburos?
Uroburos è un rootkit che consiste di due file – un “driver” e un “encrypted virtual file system”. Questo malware può essere usato per prendere il controllo dei PC infetti, eseguire qualsiasi programma sul computer e nascondere le proprie azioni sul sistema. Uroburos è anche in grado di rubare data e registrare il traffico di dati nella rete. La sua struttura modulare consente di potenziare il malware con funzioni addizionali. Grazie a questa flessibilità e modularità, G Data ritiene che questo rootkit sia molto avanzato e pericoloso.
La complessità tecnica indica che l’origine siano i servizi segreti
La complessità e il design di Uroburos dimostra che il malware è stato molto costoso da sviluppare. G Data ritiene che pertanto siano stati coinvolti sviluppatori molto esperti e capaci. Si può inoltre presumere che non siano stati coinvolti cyber criminali nel suo sviluppo, ma che dietro di esso ci siano dei servizi segreti. G Data ritiene inoltre che i programmatori abbiano sviluppato anche un rootkit ancora più avanzato che non è stato ancora scoperto.
Uroburos è progettato per lavorare su grandi network di aziende, autorità pubbliche, organizzazioni e istituti di ricerca: il malware si diffonde automaticamente e lavora in modalità “peer-to-peer”, dove i computer infetti in un network chiuso comunicano direttamente l’uno con l’altro. Basta che vi sia anche solo un computer con accesso a Internet. I computer infetti spiano documenti o altri dati e li trasferiscono poi al PC dotato di connessione Internet dove tutti i dati vengono raccolti per poi essere trasferiti sul PC di chi ha condotto l’attacco. Uroburos supporta Microsoft Windows sia a 32 che 64 bit.
Sospetti collegamenti con l’attacco russo agli USA nel 2008
Basandosi sulle sue caratteristiche tecniche, gli esperti di G Data hanno evidenziato una connessione tra Uroburos e il cyber attacco condotto negli Stati Uniti nel 2008 tanto da pensare che i responsabili siano gli stessi.
In quell’occasione fu usato il malware chiamato “Agent.BTZ”. Uroburos controlla i sistemi infetti per vedere se il malware è già stato installato, nel cui caso non diventa attivo.
G Data ha inoltre trovato indicazioni secondo le quali gli sviluppatori di entrambe i programmi malware parlano russo.
L’analisi dimostra che chi sta conducendo questo attacco non prende di mira i normali utenti Internet. Gli sforzi profusi nello sviluppo di questo malware sono giustificati da obbiettivi molto più importanti come grandi aziende, istituzioni pubbliche, servizi segreti, organizzazioni e altri obbiettivi simili.
Non identificato per più di tre anni!
Il rootkit Uroburos è il malware più avanzato che gli esperti di G Data abbiano mai analizzato.Il più vecchio driver che è stato trovato durante questa analisi risale al 2011. Questo dimostra che l’attacco è rimasto non individuato per ben tre anni.
Il vettore dell’infezione non è stato identificato
A oggi non è possibile determinare come Uroburos si sia inizialmente infiltrato nei grandi network. L’attacco si può attuare in diversi modi, per esempio attraverso phishing, infezioni di tipo drive-by o social engineering.
Cosa significa il nome?
G Data ha chiamato questo malware “Uroburos” sulla base di un nome corrispondente trovato nel codice sorgente. Il nome è basato su un antico simbolo greco raffigurante un serpente o un drago che si morde la propria cosa.
Post
Nessun commento:
Posta un commento