Uroburos – rosyjski wirus wykrada dane z sieci rządowych

Rootkit Uroburos działa w pełni automatycznie, infekując zaatakowaną sieć samodzielnie. Jego łupem mogą paść nawet komputery nie posiadające połączenia z internetem. Głównym celem wirusa są międzynarodowe korporacje, służy wywiadowcze oraz instytucje rządowe. Uroburos składa się z dwóch plików – sterownika oraz zaszyfrowanego wirtualnego systemu plików. Dzięki niemu cyberprzestępca może przejąć kontrolę nad komputerem, wykonać kod dowolnego programu a następnie zamaskować swoje działania w zainfekowanej sieci. Uroburos potrafi również wykradać poufne dane oraz monitorować ruch w sieci. Wirus posiada strukturę modułową, co oznacza, że cyberprzestępcy mogą w każdej chwili rozbudować go o nowe możliwości, w zależności od sytuacji.

Złożoność Uroburosa wskazuje, że został on zaprojektowany przez tajne służby. Podczas jego tworzenia poniesiono ogromne koszty, co automatycznie wyklucza pomniejsze grupy hakerskie. Specjaliści z G Daty powiązują twórców tego wirusa z cyberatakami na USA z 2008 roku. Wykorzystano wtedy szkodliwe oprogramowanie o nazwie agent.BTZ. Uroburos sprawdza atakowaną maszynę pod kątem jego zawartości. Jeżeli złośliwe oprogramowanie agent.BTZ jest już zainstalowane na atakowanym komputerze, Uroburos odstępuje od zaplanowanych działań. Ponadto podczas badania próbki wirusa natrafiono na wskazówki mówiące, że twórcy tego oprogramowania komunikują się w języku rosyjskim.

Jak do tej pory nie było możliwe ustalenie, w jaki sposób Uroburos przenikał do atakowanych sieci. Specjaliści analizujący działanie rootkita biorą pod uwagę atak typu spear phishing, infekcje drive-by-download lub wymyślny atak socjotechniczny.

Źródło: G Data Software