4 razões para terceirizar seu DNS
Pesquisadores de segurança descobriram uma peça complexa e sofisticada de malware que rouba dados sugerem pode muito bem ser o trabalho de hackers patrocinados pelo Estado na Rússia.
O rootkit Uroburos, em homenagem a uma serpente mítica ou dragão que comeu o próprio rabo - e uma sequência de caracteres escondidos no fundo de código do malware (Ur0bUr () sGotyOu #) - pode ter sido ativo por pelo menos três anos antes de sua detecção por pesquisadores de segurança da empresa de antivírus alemão g.
Uroburos é projetado para capturar o tráfego de rede e roubar arquivos. É um rootkit composta por dois arquivos, um motorista e um sistema de arquivos virtual criptografado. O rootkit é capaz de assumir o controle de uma máquina infectada, execute comandos arbitrários e esconder as atividades do sistema, dizem os pesquisadores.
O malware se comunica através de uma rede peer-to-peer. Proporcionar ele pode encontrar um computador com acesso à internet dentro de uma rede comprometida, que é capaz de roubar dados de outros computadores infectados na mesma rede - mesmo se eles não têm acesso às interwebs. G Data diz Uroburos utiliza dois sistemas de arquivos virtuais (um baseado em um sistema de arquivos NTFS eo outro um sistema de arquivos FAT) para disfarçar suas atividades malignas e para tentar evitar a detecção.
Esses sistemas de arquivos virtuais são usados como um "espaço de trabalho" pelos atacantes, proporcionando um espaço de armazenamento de ferramentas de terceiros, ferramentas de pós-exploração, arquivos temporários e saída binária.
Pesquisadores da G Data contar a complexidade do malware marca-lo como muito mais provável que seja o trabalho das agências de inteligência do que feita por criminosos virtuais comuns ou para o jardim.
O desenvolvimento de uma estrutura como Uroburos é um investimento enorme. A equipe de desenvolvimento por trás este malware, obviamente, inclui especialistas em informática altamente qualificados, como você pode inferir a partir da estrutura eo design avançado do rootkit. Acreditamos que a equipe por trás Uroburos continuou trabalhando ainda mais avançados variantes, que ainda estão a ser descoberto.
Semelhanças nas técnicas e ponto tecnologia para ligações entre Uroburos e um ataque à base de malware contra os EUA cerca de seis anos atrás.
Devido a muitos detalhes técnicos (nome do arquivo, as chaves de criptografia, comportamento e mais detalhes mencionados neste relatório), assumimos que o grupo por trás Uroburos é o mesmo grupo que realizou um ataque cibernético contra os Estados Unidos da América em 2008, com um malware chamado Agent . BTZ.Uroburos verifica a presença de Agent.BTZ e permanece inativo se ele estiver instalado. Parece que os autores do Uroburos falar russo (a língua aparece em uma amostra), o que corrobora a relação com Agent.BTZ. Além disso, de acordo com artigos de jornal público, este fato, o uso de russo, aplicado também para os autores de Agent.BTZ.
A propagação do worm Agent-BTZ em 2008 resultou em uma proibição do Exército dos EUA contra o uso de USB e dispositivos de mídia removível, o principal vetor da infecção.
Uroburos tem como alvo empresas de alto perfil, os Estados-nação, as agências de inteligência e metas semelhantes, os pesquisadores de segurança da G Data concluem. Um dos motoristas identificados no rootkit Uroburos foi compilado em 2011, evidência de que o malware foi criado cerca de três anos atrás. É razoável supor que foi lançado logo após a sua criação, o que implica o malware sofisticado ficou sob o radar de empresas de segurança por cerca de três anos. Mais detalhes sobre os resultados da análise da G Data, até agora, pode ser encontrado em papel branco aqui ( PDF ).
A análise do código malicioso está em uma fase inicial, para peças-chave estão faltando do quebra-cabeças, não menos importante como Uroburos consegue se espalhar.
"Sem luz foi brilhou sobre como Uroburos pode infectar computadores das vítimas (embora a infecção USB e ataques de e-mail direcionados parecem plausíveis), ou que as vítimas poderia ter sido, ou o que os dados podem ter sido roubados", escreve o especialista em segurança Graham Cluley independente em um post no blog sobre a ameaça. ®
Nenhum comentário:
Postar um comentário