G Data ontdekt Russische spionagema?lware

G Data bekend dat er naar alle waarschijnlijkheid een nieuw soort staatsspionage-malware is ontdekt: Uroburos. Op G Data’s Securityblog een uitgebreidere analyse: http://blog.gdatasoftware.com/blog/article/uroburos-highly-complex-espionage-software-with-russian-roots.htm.

Experts van G Data hebben een zeer complex stuk malware geanalyseerd. Deze malware is ontworpen om vertrouwelijke gegevens te stelen. G Data noemt de malware Uroburos, vanwege een regel in de code van de malware en de verwijzing naar het oud-Griekse mythologische symbool van een slang die zichzelf in de staart bijt.

Belangrijkste conclusies tot nu toe:

- Uroburos is een rootkit, die uit twee bestanden bestaat: een driver en een versleuteld virtueel filesysteem. Het houdt zichzelf goed schuil op een geïnfecteerd systeem

- Uroburos kan informatie stelen (vooral bestanden) en netwerkverkeer opvangen

- Het is modulair opgebouwd, waardoor het gemakkelijk op een later tijdstip kan worden uitgebreid

- De malware zit zeer geraffineerd in elkaar en wordt vermoedelijk nog altijd doorontwikkeld

- De malware werkt in peer2peer-modus, waarmee verspreiding binnen een netwerk gemakkelijk is (ook van pc’s die niet op internet zijn aangesloten) en het verwijderen ingewikkeld.

- Vanwege verschillende aanwijzingen (o.a. bestandsnamen, encryptiesleutels, gedrag), vermoeden de G Data-onderzoekers dat deze malware door dezelfde makers is gemaakt als de malware die in 2008 werd ingezet tegen de overheid van de Verenigde Staten (Agent.BTZ)

- De makers lijken Russisch te zijn, vanwege het gebruik van de Russische taal in gevonden samples

- De oudste sample die de G Data-experts hebben gevonden dateert uit 2011, wat betekent dat deze malware minimaal drie jaar ontgedetecteerd zijn werk heeft kunnen doen.

- Het is nog onduidelijk hoe de initiële infectie plaatsvindt