Немецкие IT-специалисты обнаружили разработанный российскими спецслужбами руткит

image

Теги: руткит, Россия, хищение данных

По информации экспертов, руткит, похищающий конфиденциальную информацию, использовался злоумышленниками с 2011 года.

Специалисты немецкой компании G Data обнаружили новую вредоносную программу, нацеленную на хищение конфиденциальной информации. По данным специалистов, разработкой вредоносной программы занимались представители спецслужб России. Руткит Uroburos получил свое название от имени мифического дракона, а также от последовательности символов внутри кода вредоносной программы: Ur0bUr()sGotyOu#.

Uroburos похищает файлы с зараженных компьютеров и перехватывает сетевой трафик. Вредоносная программа предназначена для работы в режиме P2P для установки связи между инфицированными системами. Эта функция позволяет получить удаленный доступ к одному компьютеру с интернет-подключением для того, чтобы управлять другими ПК в локальной сети.

Интересно, что для того, чтобы скрыть свою деятельность, руткит использует две виртуальные файловые системы - NTFS и FAT, которые локально находятся на инфицированной машине. Эти файловые системы позволяют злоумышленникам хранить на компьютере жертвы инструменты сторонних производителей, инструменты для пост-эксплуатации, временные файлы и двоичные выходные данные. Доступ к виртуальным файловым системам можно получить через устройства: Device\RawDisk1 и Device\RawDisk2, а также диски \\.\Hd1 и \\.\Hd2.

Специалисты G Data отмечают: «Создание такой структуры, как Uroburos требует огромных инвестиций. Команда разработчиков этой вредоносной программы, очевидно, состоит из высококвалифицированных IT-специалистов. Такой вывод можно сделать, проанализировав структуру и современный дизайн руткита. Мы считаем, что у разработчиков также имеются усовершенствованные версии Uroburos, которые появятся в будущем».

Обнаружив определенные технические характеристики (имя файла, ключи шифрования, поведение и др.), представители G Data предположили, что авторами Uroburos является группа злоумышленников, которая в 2008 году осуществила атаку на компьютерные системы США при помощи вредоносной программы Agent.BTZ.

Эксперты заявляют, что перед установкой на систему жертвы Uroburos проверяет ее на наличие Agent.BTZ. Если последний присутствует, то новый руткит остается неактивным. Доказательством того, что за созданием Uroburos могут стоять русские является то, что в коде вредоносной программы присутствует кириллица.

Напомним, что после атаки Agent.BTZ на системы США американским военным запретили использовать USB-накопители и другие съемные носители. В то время предполагалось, что заражение системы Министерства обороны произошло через USB-накопитель.

По заявлениям G Data, целью авторов Uroburos являются крупные предприятия, государства, спецслужбы и прочие организации. Предположительно, руткит используется уже на протяжении трех лет, так как наиболее давние версии программы были написаны еще в 2011 году.

Подробно с отчетом G Data можно ознакомиться здесь.


или введите имя

CAPTCHA
Страницы: 1  2  
Bender
03-03-2014 18:17:44
Дайте дайте угадаю, Каспер не детектит этот руткит))
0 |
Кай
04-03-2014 12:50:23
https://public.gdatasoftware.com/Web/Keyvisuals/RU/Keyvisuals_Management_RU_V1.jpg угадали не детектит ибо InfoWatch инвестировала в G Data
0 |
x1
03-03-2014 21:16:17
[quote]разработкой вредоносной программы занимались представители спецслужб России<\quote> Там © копирайт что ли стоит?
0 |
Guest
04-03-2014 02:03:41
На странице 6 отчета команда из батника содержащая rar.exe и далее кучу параметров, думаю для исследователей это была как красная тряпка для быка.
0 |
zzz
03-03-2014 23:32:44
ТочнО! Это как в своё время грузины выкладывали фото русского хакера, который их DDOS-ил, причём кажется с улицы Большая Лубянка! Интересно, что они тама курят?
0 |
Гость
04-03-2014 08:35:53
Т.е., если во вредоносном исполняемом файле найдется "латиница", делаем вывод, что он однозначно разработан по заказу спецслужб USA?
0 |
ScayderX
04-03-2014 16:19:37
Правильно. Мы проверяем ВАС-США на безопасность!... Пишите мелким шрифтом в сеть!!!! |->
0 |
Страницы: 1  2