Orosz kémprogram vadászik katonai adatokra
2014. március 3.
A német G Data szakértői egy feltehetően orosz eredetű, rendkívül fejlett vírust fedeztek fel, melynek célja, hogy bizalmas adatokat lopjon az Egyesült Államok kormányzati szervezeteinek számítógépeiről. A támadás a hat évvel ezelőtti behatolás folytatásának tűnik – akkor a Pentagonnak 14 hónapjába telt, mire megtisztította hálózatát.
A G Data szakértői most egy új, még fejlettebb vírust találtak, és azt állítják, hogy a kártevő az elmúlt három évben már aktívan működhetett. A kémprogram kódjában az Uroburos név szerepel, mely egy ókori görög szimbólumból ered, és egy saját farkába harapó sárkányt ábrázol, ami az önreflexióra, a komplexitásra utal. A név azonban megjelenik a Resident Evil film- és videojáték-sorozatban, méghozzá egy olyan vírus neveként, amelynek segítségével a készítői a világ hatalmi egyensúlyát akarják megváltoztatni.
A rendkívül összetett programkód, az orosz nyelv használata, valamint az a tény, hogy az Uroburos nem aktiválódik az olyan számítógépeken, melyeken az Agent.btz még mindig megtalálható, mind arra utalnak, hogy egy jól megszervezett akcióról van szó, melynek célja a katonai hálózatokból történő információszerzés. A vírus képes arra, hogy adatokat szivárogtasson azokról a számítógépekről, melyek nincsenek közvetlenül az internetre csatlakoztatva. Ennek érdekében saját kommunikációs csatornákat épít ki a hálózatokban, majd azokról a gépekről, melyek nem rendelkeznek online kapcsolattal, olyanokra továbbítja az adatokat, amik csatlakoznak a világhálóra. Mindezt ráadásul úgy teszi, hogy egy nagy hálózatban rendkívül nehéz felderíteni, hogy melyik online számítógép az, amelyik kilopja az adatokat a világhálóra nem csatlakoztatott munkaállomásról, majd továbbítja ezeket a kártevő készítői számára.
Informatikai felépítését tekintve az Uroburos egy úgynevezett rootkit, mely két fájlból jön létre, egy driverből és egy virtuális fájlrendszerből. A rootkit képes átvenni a megfertőzött számítógép feletti irányítást, parancsokat végrehajtani és rendszerfolyamatokat elrejteni. Moduláris felépítésének köszönhetően bármikor frissíthető új tulajdonságokkal, ami rendkívül veszélyessé teszi. A driver fájl programozási stílusa összetett és diszkrét, így nehéz azonosítani. A G Data szakértői hangsúlyozzák, hogy egy ilyen kártevő elkészítése komoly fejlesztői csapatot és tudást igényel, ami szintén valószínűsíti, hogy célzott támadásról van szó. Az a tény, hogy a kártékony kódban különválik a meghajtóprogram és a virtuális fájlrendszer, azt is jelenti, hogy csak mindkettőnek a birtokában lehet analizálni a rootkit keretrendszerét, ez pedig rendkívül nehézzé teszi az Uroburos felismerését. A kártevő technikai működéséről bővebb információ a G Data vírusirtó magyarországi honlapján olvasható.
Kapcsolódó cikkek
- Így fertőződnek meg a weboldalak - egyszerűbb mint gondolnánk
- Hanyagság nélkül nem lenne kiberbűnözés?
- Hanyagság nélkül nem lenne kiberbűnözés
- A Flextronics elleni kibertámadás miatt emeltek vádat öt ember ellen Zalában
- The Mask: 7 éve tartó globális kibertámadást észlelt a Kaspersky Lab
- Rekordszámú kibertámadás érte tavaly a japán intézményeket
- Deloitte: a magyar cégek is szervezett kibertámadások célpontjai lehetnek
- Izraeli lap: Palesztin kibertámadás történt izraeli állami szervek számítógépei ellen
- A bloggerek tevékenységét is figyeli az orosz kormányőrség
- Már a hűtőnk sincs biztonságban a hackerektől?