Ruský spyware loví vojenské údaje

Nemeckí experti na G Data objavili vysoko pokročilý vírus, pravdepodobne ruského pôvodu, určený na odcudzenie dôverných údajov z počítačov vo vládnych organizáciách USA. Útok sa javí ako pokračovanie vniknutia pred šiestimi rokmi - vyčisteniu svojej siete trvalo Pentagónu 14 mesiacov.

V roku 2008 vyšiel na povrch jeden z najväčších kybernetických útokov proti USA. Akcia sa začala tým, že niekto „nechal“ USB disk na parkovisku ministerstva obrany. Médiá obsahovali malware Agent.btz, ktorý infikoval americkú vojenskú sieť a dokázal otvoriť zadné vrátka na napadnutých strojoch a následne cez ne presakovať údaje.

Odborníci v spoločnosti AG Data teraz našli nový, ešte pokročilejší vírus a tvrdia, že škodlivý softvér mohol byť aktívny posledné tri roky. Kód spywaru obsahuje meno Uroburos, ktoré pochádza zo starogréckeho symbolu a zobrazuje draka hryzúceho do vlastného chvosta, ktorý odkazuje na sebareflexiu a zložitosť. Názov sa však objavuje vo filmovej a videohernej sérii Resident Evil, čo je názov vírusu, ktorý chcú jeho tvorcovia použiť na zmenu rovnováhy síl vo svete.

Mimoriadne zložitý programový kód, použitie ruského jazyka a skutočnosť, že Uroburos nie je aktivovaný na počítačoch, ktoré majú stále Agent.btz, naznačujú, že ide o dobre organizovanú akciu zameranú na odstránenie vojenských sietí. Vírus je schopný úniku údajov z počítačov, ktoré nie sú priamo pripojené k internetu. Za týmto účelom si v sieťach vytvára svoje vlastné komunikačné kanály a potom prenáša údaje zo strojov, ktoré nemajú online pripojenie, na tie, ktoré sa pripájajú k sieti WWW. O to viac to je, že vo veľkej sieti je nesmierne ťažké zistiť, ktorý počítač online kradne dáta z pracovnej stanice, ktorá nie je pripojená k sieti WWW, a potom ich preposlať tvorcom škodlivého softvéru.

Z hľadiska svojej IT architektúry je Uroburos takzvaný rootkit, ktorý je vytvorený z dvoch súborov, ovládača a virtuálneho súborového systému. Rootkit môže prevziať kontrolu nad infikovaným počítačom, vykonávať príkazy a skryť systémové procesy. Vďaka svojmu modulárnemu dizajnu je možné ho kedykoľvek aktualizovať o nové funkcie, vďaka čomu je mimoriadne nebezpečný. Štýl programovania súboru ovládača je zložitý a diskrétny, takže je ťažké ho identifikovať. Odborníci zo spoločnosti AG Data zdôrazňujú, že vytvorenie takého škodlivého softvéru si vyžaduje seriózny vývojový tím a znalosti, vďaka ktorým je tiež pravdepodobné, že ide o cielený útok. Skutočnosť, že ovládač a virtuálny súborový systém sú oddelené v škodlivom kóde, tiež znamená, že rámec rootkitov je možné analyzovať iba v obidvoch, čo sťažuje detekciu Uroburosu. Viac informácií o technickej činnosti škodcu a Antivírusový web G Data v Maďarsku čitateľné.