Novi detalji o malveru Uroburos (Snake): nevidljivi malver špijunira od 2005. godine

Vesti, 10.03.2014, 07:52 AM

Novi detalji o malveru Uroburos (Snake): nevidljivi malver špijunira od 2005. godine

Misteriozni rootkit “Uroburos” na koga su krajem prošlog meseca upozorili stručnjaci nemačke kompanije G Data koristi se za špijunažu od 2005. godine. Malver je poznat i pod nazivom “Turla”, a stručnjaci firme BAE Systems koji su u petak objavili svoju analizu malvera Uroburos nazvali su malver “Snake”. Prema tvrdnji stručnjaka britanske firme, Uroburos (Snake) je samo jedna komponenta velikog projekta, a autori malvera koristili su različita imena za različite komponente projekta ("Snake", "Uroburos", "Snark", "Sengoku").

Prema izveštaju koji je objavio BAE Systems, malver Snake je skoro deceniju krišom krao informacije iz mreža u SAD i savezničkim zemljama, članicama NATO alijanse, ali i bivšim državama SSSR-a.

Sofisticiran i inovativan, Snake stoji rame uz rame sa malverima koji se pripisuju SAD, kao što je Flame, malver koji je 2012. godine otkrio Kaspersky Lab.

Malver je od 2010. godine 32 puta pronađen u Ukrajini, 11 puta u Litvaniji, 4 puta u Velikoj Britaniji, i mnogo puta u SAD, Belgiji, Gruziji, Rumuniji, Mađarskoj i Italiji. Dva uzorka malvera koje su analizirali stručnjaci su od januara, što ukazuje na to da je kampanja i dalje veoma aktivna a još zanimljivije je i da je veliki broj infekcija ove godine uočen u Ukrajini.

Iako su ovo veoma mali brojevi, u BAE Systems na osnovu iskustva veruju da su veoma indikativni. Pored toga što ovi brojevi reprezentuju samo mali deo stvarnog broja infekcija u ovim ali i drugim zemljama, iz njih se pouzdano može zaključiti da je Snake skoro isključivo namenjen zapadnim zemljama i bivšim sovjetskim republikama.

Za razliku od G Data, ali i nekih drugih kompanija, koje tvrde da tragovi ove sajber špijunaže vode do Rusije, BAE Systems nije imenovao krivca.

Napadi na sisteme američkog ministarstva odbrane 2008. u koje je umešan malver nazvan Agent.BTZ, deo su ove operacije sajber špijunaže. Incident je u više navrata povezivan sa Rusijom, ali bez dodatne elaboracije. Agent.BTZ je verovatno bio rana verzija malvera Snake.

Jasno je da Snake nije komercijalan malver, a njegov razvoj zahtevao je ogromne resurse, pa je verovatno da iza njega stoji neka vlada.

Iz BAE System kažu da je malver veoma kompleksan i da ima sve elemente špijunskog alata te je stoga veoma opasan. Zbog toga je, što nije uobičajeno, britanska firma o ovome već obavestila vlade i nacionalne CERT timove o svojim otkrićima pre nego što je objavila rezultate svog istraživanja.

Bez obzira kako ga nazvali, Uroburos ili Snake, moguće je da ono što su firme koje se bave bezbednošću videle 2010. godine ustvari nekoliko međusobno povezanih sajber alata iz istog programa, i da je zbog toga nastala konfuzija oko verzija. Stoga Snake nije toliko sajber oružje koliko komplet špijunskih alata na isti način kao što je Stuxnet bio deo većeg arsenala.

Britanska firma je otkrila jedan zanimljiv detalj o ljudima koji su stvorili Snake: analiza je pokazala da oni rade samo od ponedeljka do petka, od 9 do 6 časova, i da se nove verzije malvera retko puštaju tokom vikenda. To samo znači da profesionalni hakeri nisu roboti već da su plaćeni za posao kao i svi drugi zaposleni ljudi.

Iako se na neki način za Snake znalo već godinama, sve do sada nije otkriven pun obim njegovih mogućnosti, a pretnja koju Snake predstavlja morala bi da se shvati veoma ozbiljno, kažu iz BAE Systems.

Nezavisno od ovoga, G Data je objavila dopunu svoje ranije analize Uroburos/Snake malvera, čiji je ključni zaključak da rootkit modul koristi ranjivost (CVE-2008-3431) da bi zaobišao Microsoft-ov Driver Signature Enforcement na 64-bitnim verzijama Windows-a počev od Windows Vista, što nije nova tehnika, ali je ipak veoma neuobičajena.

Kompletnu analizu ove operacije sajber špijunaže možete naći u izveštaju koji je objavio BAE Systems (pdf), a dopunjenu analizu koju je objavio nemački proizvođač antivirusa možete naći na blogu kompanije G Data.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Procurili dokumenti korisnika dva besplatna onlajn PDF servisa

Procurili dokumenti korisnika dva besplatna onlajn PDF servisa

Svi smo bar jednom koristili besplatne PDF servise. Verovatno smo žurili, bilo nam je potrebno da brzo napravimo i pošaljemo PDF dokument. Mnogi se ... Dalje

Microsoft Outlook ima kritičnu ranjivost koja može dovesti do neovlašćenog pristupa i curenja podataka

Microsoft Outlook ima kritičnu ranjivost koja može dovesti do neovlašćenog pristupa i curenja podataka

Istraživači bezbednosti iz firme Morphisec otkrili su kritičnu ranjivost, CVE-2024-38021, koja utiče na većinu Microsoft Outlook aplikacija. Re... Dalje

Google olakšao podešavanje Programa napredne zaštite korisnicima rizičnih Google naloga

Google olakšao podešavanje Programa napredne zaštite korisnicima rizičnih Google naloga

Google je olakšao korisnicima koji su pod većim rizikom od ciljanih napada da se uključe Program napredne zaštite za Google naloge. Sada korisnic... Dalje

Kaspersky otkrio novu hakersku grupu koja špijunira ruske vladine agencije

Kaspersky otkrio novu hakersku grupu koja špijunira ruske vladine agencije

Istraživači Kaspersky Laba otkrili su novu hakersku grupu, nazvanu CloudSorcerer, koja koristi „sofisticirani alat za sajber špijunažu&ldquo... Dalje

Malveri sve češće sakriveni u lažnim AI alatima

Malveri sve češće sakriveni u lažnim AI alatima

Tokom proteklih šest meseci došlo je do značajnog porasta finansijskih pretnji za Android - malvera koji ciljaju korisnike mobilnog bankarstva, bil... Dalje