Novi detalji o malveru Uroburos (Snake): nevidljivi malver špijunira od 2005. godine

Vesti, 10.03.2014, 07:52 AM

Novi detalji o malveru Uroburos (Snake): nevidljivi malver špijunira od 2005. godine

Misteriozni rootkit “Uroburos” na koga su krajem prošlog meseca upozorili stručnjaci nemačke kompanije G Data koristi se za špijunažu od 2005. godine. Malver je poznat i pod nazivom “Turla”, a stručnjaci firme BAE Systems koji su u petak objavili svoju analizu malvera Uroburos nazvali su malver “Snake”. Prema tvrdnji stručnjaka britanske firme, Uroburos (Snake) je samo jedna komponenta velikog projekta, a autori malvera koristili su različita imena za različite komponente projekta ("Snake", "Uroburos", "Snark", "Sengoku").

Prema izveštaju koji je objavio BAE Systems, malver Snake je skoro deceniju krišom krao informacije iz mreža u SAD i savezničkim zemljama, članicama NATO alijanse, ali i bivšim državama SSSR-a.

Sofisticiran i inovativan, Snake stoji rame uz rame sa malverima koji se pripisuju SAD, kao što je Flame, malver koji je 2012. godine otkrio Kaspersky Lab.

Malver je od 2010. godine 32 puta pronađen u Ukrajini, 11 puta u Litvaniji, 4 puta u Velikoj Britaniji, i mnogo puta u SAD, Belgiji, Gruziji, Rumuniji, Mađarskoj i Italiji. Dva uzorka malvera koje su analizirali stručnjaci su od januara, što ukazuje na to da je kampanja i dalje veoma aktivna a još zanimljivije je i da je veliki broj infekcija ove godine uočen u Ukrajini.

Iako su ovo veoma mali brojevi, u BAE Systems na osnovu iskustva veruju da su veoma indikativni. Pored toga što ovi brojevi reprezentuju samo mali deo stvarnog broja infekcija u ovim ali i drugim zemljama, iz njih se pouzdano može zaključiti da je Snake skoro isključivo namenjen zapadnim zemljama i bivšim sovjetskim republikama.

Za razliku od G Data, ali i nekih drugih kompanija, koje tvrde da tragovi ove sajber špijunaže vode do Rusije, BAE Systems nije imenovao krivca.

Napadi na sisteme američkog ministarstva odbrane 2008. u koje je umešan malver nazvan Agent.BTZ, deo su ove operacije sajber špijunaže. Incident je u više navrata povezivan sa Rusijom, ali bez dodatne elaboracije. Agent.BTZ je verovatno bio rana verzija malvera Snake.

Jasno je da Snake nije komercijalan malver, a njegov razvoj zahtevao je ogromne resurse, pa je verovatno da iza njega stoji neka vlada.

Iz BAE System kažu da je malver veoma kompleksan i da ima sve elemente špijunskog alata te je stoga veoma opasan. Zbog toga je, što nije uobičajeno, britanska firma o ovome već obavestila vlade i nacionalne CERT timove o svojim otkrićima pre nego što je objavila rezultate svog istraživanja.

Bez obzira kako ga nazvali, Uroburos ili Snake, moguće je da ono što su firme koje se bave bezbednošću videle 2010. godine ustvari nekoliko međusobno povezanih sajber alata iz istog programa, i da je zbog toga nastala konfuzija oko verzija. Stoga Snake nije toliko sajber oružje koliko komplet špijunskih alata na isti način kao što je Stuxnet bio deo većeg arsenala.

Britanska firma je otkrila jedan zanimljiv detalj o ljudima koji su stvorili Snake: analiza je pokazala da oni rade samo od ponedeljka do petka, od 9 do 6 časova, i da se nove verzije malvera retko puštaju tokom vikenda. To samo znači da profesionalni hakeri nisu roboti već da su plaćeni za posao kao i svi drugi zaposleni ljudi.

Iako se na neki način za Snake znalo već godinama, sve do sada nije otkriven pun obim njegovih mogućnosti, a pretnja koju Snake predstavlja morala bi da se shvati veoma ozbiljno, kažu iz BAE Systems.

Nezavisno od ovoga, G Data je objavila dopunu svoje ranije analize Uroburos/Snake malvera, čiji je ključni zaključak da rootkit modul koristi ranjivost (CVE-2008-3431) da bi zaobišao Microsoft-ov Driver Signature Enforcement na 64-bitnim verzijama Windows-a počev od Windows Vista, što nije nova tehnika, ali je ipak veoma neuobičajena.

Kompletnu analizu ove operacije sajber špijunaže možete naći u izveštaju koji je objavio BAE Systems (pdf), a dopunjenu analizu koju je objavio nemački proizvođač antivirusa možete naći na blogu kompanije G Data.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Hakeri prevarili popularni maloprodajni lanac Pepco, ukradeno 15,5 miliona evra

Hakeri prevarili popularni maloprodajni lanac Pepco, ukradeno 15,5 miliona evra

Evropski diskontni maloprodajni lanac Pepco Group koji posluje u 21 zemlji, prijavio je fišing napad u svom ogranku u Mađarskoj, koji je rezultirao ... Dalje

Malver sakriven u lažnim mejlovima sa sajta Booking.com

Malver sakriven u lažnim mejlovima sa sajta Booking.com

Prevaranti ciljaju korisnike popularnih provajdera usluga u vezi putovanja malverom Agent Tesla, šaljući im mejlove u ime sajtova kao što je Bookin... Dalje

Posle velike policijske akcije, ransomware kartel LockBit je ponovo aktivan, stižu izveštaji o novim žrtvama njihovih napada

Posle velike policijske akcije, ransomware kartel LockBit je ponovo aktivan, stižu izveštaji o novim žrtvama njihovih napada

Nekoliko dana nakon što je globalna policijska akcija desetkovala njihovu infrastrukturu, zloglasna ransomware grupa LockBit se ponovo se pojavila. &... Dalje

Apple uvodi u iMessage novu zaštitu od napada iz budućnosti

Apple uvodi u iMessage novu zaštitu od napada iz budućnosti

Apple je objavio da uvodi u iMessage novi post-kvantni kriptografski protokol pod nazivom PQ3, dizajniran da brani šifrovanje od kvantnih napada. iMe... Dalje

Avast kažnjen sa 16,5 miliona dolara zbog prodaje podataka o pretraživanju korisnika

Avast kažnjen sa 16,5 miliona dolara zbog prodaje podataka o pretraživanju korisnika

Američka Federalna trgovinska komisija (FTC) kaznila je Avast kaznom od 16,5 miliona dolara zbog prodaje podataka o pretraživanju korisnika oglašiv... Dalje