G Data ontdekt Russische spionagema?lware
G Data bekend dat er naar alle waarschijnlijkheid een nieuw soort staatsspionage-malware is ontdekt: Uroburos. Op G Data’s Securityblog een uitgebreidere analyse: http://blog.gdatasoftware.com/blog/article/uroburos-highly-complex-espionage-software-with-russian-roots.htm.
Experts van G Data hebben een zeer complex stuk malware geanalyseerd. Deze malware is ontworpen om vertrouwelijke gegevens te stelen. G Data noemt de malware Uroburos, vanwege een regel in de code van de malware en de verwijzing naar het oud-Griekse mythologische symbool van een slang die zichzelf in de staart bijt.
Belangrijkste conclusies tot nu toe:
- Uroburos is een rootkit, die uit twee bestanden bestaat: een driver en een versleuteld virtueel filesysteem. Het houdt zichzelf goed schuil op een geïnfecteerd systeem
- Uroburos kan informatie stelen (vooral bestanden) en netwerkverkeer opvangen
- Het is modulair opgebouwd, waardoor het gemakkelijk op een later tijdstip kan worden uitgebreid
- De malware zit zeer geraffineerd in elkaar en wordt vermoedelijk nog altijd doorontwikkeld
- De malware werkt in peer2peer-modus, waarmee verspreiding binnen een netwerk gemakkelijk is (ook van pc’s die niet op internet zijn aangesloten) en het verwijderen ingewikkeld.
- Vanwege verschillende aanwijzingen (o.a. bestandsnamen, encryptiesleutels, gedrag), vermoeden de G Data-onderzoekers dat deze malware door dezelfde makers is gemaakt als de malware die in 2008 werd ingezet tegen de overheid van de Verenigde Staten (Agent.BTZ)
- De makers lijken Russisch te zijn, vanwege het gebruik van de Russische taal in gevonden samples
- De oudste sample die de G Data-experts hebben gevonden dateert uit 2011, wat betekent dat deze malware minimaal drie jaar ontgedetecteerd zijn werk heeft kunnen doen.
- Het is nog onduidelijk hoe de initiële infectie plaatsvindt