Немецкая компания G Data опубликовала отчет о рутките Uroburos, который, по ее мнению, разработан в интересах российских спецслужб, связан с известным трояном Agent.BTZ и проработал незамеченным три года.

Эксперты ИБ-компании G Data заявили об обнаружении «очень сложной вредоносной программы, предназначенной для похищения конфиденциальной информации». По последовательности символов Ur0bUr()sGotyOu#, найденных в коде руткита, программа получила от первооткрывателей название Uroburos (аллюзия на уроборос, герметический символ в виде змея, пожирающего собственный хвост).

Руткит Uroburos выделяется из массы подобных шпионских программ, тем, что, по данным отчета G Data, создан и работает в интересах российских спецслужб.

Сам антивирусный разработчик G Data находится в Германии, в октябре 2012 г. стало известно о приобретении доли 16,3% в нем компанией Натальи Касперской InfoWatch.

Uroburos способен похищать с зараженных компьютеров файлы и перехватывать их сетевой трафик и, как пишут в G Data, использует несколько хитрых трюков, помогающих хакерам добывать информацию из целевых организаций. Целями Uroburos, согласно исследованию, были крупные предприятия, госструктуры, спецслужбы и т.п.

Так, например, Uroburos умеет создавать peer-to-peer-сеть из зараженных компьютеров, для обмена данными между ними. В удаленном режиме организаторам атаки достаточно захватить только один ПК, имеющий подключение к интернету, чтобы получить доступ и похитить данные из других компьютеров в локальной сети.

Интересная особенность Uroburos, отмечают в G Data, - это создание и использование им на зараженном ПК для сокрытия своей деятельности двух файловых систем, NTFS и FAT. Стороннему наблюдателю системы видны как зашифрованный файл.

Организаторы атаки используют эти файловые системы в качестве локального рабочего пространства и могут хранить в них дополнительный инструментарий для атак, временные файлы и двоичные данные. Файловые системы могут быть доступны как устройства \\Device\\RawDisk1, \\Device\\RawDisk2, а также как тома \\\\.\\HD1 и \\\\.\\HD2.


 

 

 

Фрагмент кода, по которому получил название Uroburos

 

Авторы отчета из G Data отмечают, что раработка такой структуры, как Uroburos потребовала огромных инвестиций, а команда разработчиков этой вредоносной программы, очевидно, состоит из высококвалифицированных ИТ-специалистов, которые сейчас работают над еще более продвинутыми версиями Uroburos.

По множеству технических характеристик Uroburos - именам файлов, ключам шифрования, поведенческим особенностям и т.п., G Data предположила, что Uroburos разрабатывала та же группа специалистов, которая совершала в 2008 г. атаки на США с помощью вредоносной программы Agent.BTZ. Тогда, напоминают эксперты, атака Agent.BTZ привела к запрету использования USB и съемных носителей в армии США (атака Agent.BTZ распространилась с намеренно потеряной флэшки на стоянке Минобороны США).

Согласно исследованию G Data, Uroburos перед установкой в систему проверяет ее на наличие Agent.BTZ, и, если он присутствует, то Uroburos не активируется.

В качестве доказательства того, что за созданием Uroburos стоят российские разработчики, G Data приводит кириллицу, обнаруженную ей в коде программы. Русский язык применялся и авторами Agent.BTZ.

Впрочем, отмечает эксперт по информационной безопасности Грэм Клули (Graham Cluley), такие факты не являются стопроцентным доказательством, что за атаку ответственны граждане той или иной страны, не говоря уже о том, что атака организовывалась в интересах ее правительства. С другой стороны, отмечает он, было бы наивно думать, что в мире много стран, которые не пользуются вредоносными программами, уязвимостями и хаками, чтобы шпионить за другими.

Между тем, пишет эксперт в истории с Uroburos удручает отсутствие деталей. До сих пор неизвестно, как он заражает целевые компьютеры (хотя правдоподобными представляются атаки через USB и электронную почту), кто именно был его жертвами и какие данные могли быть им похищены.

Однако, главная неприятность, сообщенная G Data, состоит в том, что старейшая версия руткита Uroburos была написана в 2011 г., и это значит, что он работал никем не замеченным на протяжении не менее трех лет.