Ukrajnához köthető adatokra vadászik egy kifinomult kémprogram

A belga De Standaard című lap a hírszerző szolgálathoz közel álló forrásától kapta az értesülést, hogy az Uroburos program egy kormányzati intézmény hálózatát veszélyeztette. A G Data felhívja arra a figyelmet, hogy biztonsági szakértői 2014 februárjában már figyelmeztettek a komplex, fejlett rootkitre, és jelezték a potenciális veszélyt: az Uroburost arra tervezték készítői, hogy cégekhez, hatóságokhoz, állami intézményekhez és kutatóintézetekhez tartozó nagyméretű hálózatokban működjön.

uroburos

Az ukrán helyzet érdekli a készítőket

A hétvégén a belga külügyminisztérium megerősítette, hogy kibertámadás érte a hálózatát. A támadás nyomán „az ukrán krízishelyzethez kapcsolódó információk és dokumentumok” kerültek ki a hálózatból, ismerte el Didier Reynders külügyminiszter. Az intézmény elleni támadásra a múlt héten került sor. Pontos információk nincsenek az elkövetőkről, de a közzétett információ alapján azt a következtetést lehet levonni, hogy az Uroburos rootkitet használták fel az akcióban, mely mögött a G Data februári elemzése alapján az orosz állam állhat.

uroburos

Állami készítésű lehet

A kártevő önállóan képes működni, és a megfertőzött hálózaton keresztül terjeszti magát, sőt még az internethez közvetlenül nem csatlakozó számítógépek is megtámadhatóak a segítségével. A G Data véleménye szerint ilyen szoftvert csak jelentős személyi háttérrel és beruházással lehetett kifejleszteni. A dizájn és a magas szintű komplexitás azt sugallják, hogy egy hírszerző szolgálat állhat a háttérben. Az olyan technikai részletek miatt, mint a fájlok elnevezései, a titkosítási metódus és a kártevő viselkedése, azt gyanítják, hogy az Uroburos ugyanattól a készítőtől származhat, aki 2008-ban már végrehajtott egy kibertámadást az USA ellen. Akkor az Agent.BTZ nevű programot használták.

Veszélyes

Az Uroburos egy rootkit, amely két fájlból áll: egy driverből és egy titkosított virtuális fájlrendszerből. A kártevőt használva a támadó átveheti az uralmat a megfertőzött PC felett, bármilyen programkódot futtathat a gépen, és képes elrejteni a tevékenységét a rendszerben, míg ezt végrehajtja. Továbbá az Uroburos képes adatok eltulajdonítására és a hálózati adatforgalom elfogására. A moduláris felépítése révén a támadók bővíthetik is a kártevőt további funkciók hozzáadásával. A rugalmassága és modularitása miatt a G Data a rootkitet a magas fejlettségi szintű és nagyon veszélyes kategóriába sorolta.

Azóta történt

Előzmények

  • A biztonsági cégek szerint a vírusirtók élnek és virulnak

    Akár hisztiről, akár marketinghúzásról van szó, a Symantec alelnöke azért kiborított egy (legalább) kisebb méretű bilit – és ez csak jót tehet a biztonsági szakmának.

  • Kibertámadások értek NATO-honlapokat

    A 2007-es észtországi események óta szinte mindennapos, hogy a politikai, katonai válságot átélő országokban szimpatizánsok és hivatásosok kiberakciókat hajtanak végre.

  • Blokkolják az ukrán képviselők mobilját

    Az ukrán biztonsági szolgálat vezetője szerint az Ukrtelekom székházánál felállított zavaróállomás már második napja akadályozza a képviselők kommunikációját.

  • Hanyagság nélkül nem lenne kiberbűnözés

    Szinte biztos, hogy a felhasználói viselkedésen nem lehet változtatni, a felvilágosítás meg roppant alacsony hatásfokú. Mi lehet vajon a megoldás? Erre az evangelista sem tudott érdemben válaszolni.