По информации экспертов, руткит, похищающий конфиденциальную информацию, использовался злоумышленниками с 2011 года.
Специалисты немецкой компании G Data обнаружили новую вредоносную программу, нацеленную на хищение конфиденциальной информации. По данным специалистов, разработкой вредоносной программы занимались представители спецслужб России. Руткит Uroburos получил свое название от имени мифического дракона, а также от последовательности символов внутри кода вредоносной программы: Ur0bUr()sGotyOu#.
Uroburos похищает файлы с зараженных компьютеров и перехватывает сетевой трафик. Вредоносная программа предназначена для работы в режиме P2P для установки связи между инфицированными системами. Эта функция позволяет получить удаленный доступ к одному компьютеру с интернет-подключением для того, чтобы управлять другими ПК в локальной сети.
Интересно, что для того, чтобы скрыть свою деятельность, руткит использует две виртуальные файловые системы - NTFS и FAT, которые локально находятся на инфицированной машине. Эти файловые системы позволяют злоумышленникам хранить на компьютере жертвы инструменты сторонних производителей, инструменты для пост-эксплуатации, временные файлы и двоичные выходные данные. Доступ к виртуальным файловым системам можно получить через устройства: Device\RawDisk1 и Device\RawDisk2, а также диски \\.\Hd1 и \\.\Hd2.
Специалисты G Data отмечают: «Создание такой структуры, как Uroburos требует огромных инвестиций. Команда разработчиков этой вредоносной программы, очевидно, состоит из высококвалифицированных IT-специалистов. Такой вывод можно сделать, проанализировав структуру и современный дизайн руткита. Мы считаем, что у разработчиков также имеются усовершенствованные версии Uroburos, которые появятся в будущем».
Обнаружив определенные технические характеристики (имя файла, ключи шифрования, поведение и др.), представители G Data предположили, что авторами Uroburos является группа злоумышленников, которая в 2008 году осуществила атаку на компьютерные системы США при помощи вредоносной программы Agent.BTZ.
Эксперты заявляют, что перед установкой на систему жертвы Uroburos проверяет ее на наличие Agent.BTZ. Если последний присутствует, то новый руткит остается неактивным. Доказательством того, что за созданием Uroburos могут стоять русские является то, что в коде вредоносной программы присутствует кириллица.
Напомним, что после атаки Agent.BTZ на системы США американским военным запретили использовать USB-накопители и другие съемные носители. В то время предполагалось, что заражение системы Министерства обороны произошло через USB-накопитель.
По заявлениям G Data, целью авторов Uroburos являются крупные предприятия, государства, спецслужбы и прочие организации. Предположительно, руткит используется уже на протяжении трех лет, так как наиболее давние версии программы были написаны еще в 2011 году.
Подробно с отчетом G Data можно ознакомиться здесь .