Novi detalji o malveru Uroburos (Snake): nevidljivi malver špijunira od 2005. godine
Vesti, 10.03.2014, 07:52 AM

Misteriozni rootkit “Uroburos” na koga su krajem prošlog meseca upozorili stručnjaci nemačke kompanije G Data koristi se za špijunažu od 2005. godine. Malver je poznat i pod nazivom “Turla”, a stručnjaci firme BAE Systems koji su u petak objavili svoju analizu malvera Uroburos nazvali su malver “Snake”. Prema tvrdnji stručnjaka britanske firme, Uroburos (Snake) je samo jedna komponenta velikog projekta, a autori malvera koristili su različita imena za različite komponente projekta ("Snake", "Uroburos", "Snark", "Sengoku").
Prema izveštaju koji je objavio BAE Systems, malver Snake je skoro deceniju krišom krao informacije iz mreža u SAD i savezničkim zemljama, članicama NATO alijanse, ali i bivšim državama SSSR-a.
Sofisticiran i inovativan, Snake stoji rame uz rame sa malverima koji se pripisuju SAD, kao što je Flame, malver koji je 2012. godine otkrio Kaspersky Lab.
Malver je od 2010. godine 32 puta pronađen u Ukrajini, 11 puta u Litvaniji, 4 puta u Velikoj Britaniji, i mnogo puta u SAD, Belgiji, Gruziji, Rumuniji, Mađarskoj i Italiji. Dva uzorka malvera koje su analizirali stručnjaci su od januara, što ukazuje na to da je kampanja i dalje veoma aktivna a još zanimljivije je i da je veliki broj infekcija ove godine uočen u Ukrajini.
Iako su ovo veoma mali brojevi, u BAE Systems na osnovu iskustva veruju da su veoma indikativni. Pored toga što ovi brojevi reprezentuju samo mali deo stvarnog broja infekcija u ovim ali i drugim zemljama, iz njih se pouzdano može zaključiti da je Snake skoro isključivo namenjen zapadnim zemljama i bivšim sovjetskim republikama.
Za razliku od G Data, ali i nekih drugih kompanija, koje tvrde da tragovi ove sajber špijunaže vode do Rusije, BAE Systems nije imenovao krivca.
Napadi na sisteme američkog ministarstva odbrane 2008. u koje je umešan malver nazvan Agent.BTZ, deo su ove operacije sajber špijunaže. Incident je u više navrata povezivan sa Rusijom, ali bez dodatne elaboracije. Agent.BTZ je verovatno bio rana verzija malvera Snake.
Jasno je da Snake nije komercijalan malver, a njegov razvoj zahtevao je ogromne resurse, pa je verovatno da iza njega stoji neka vlada.
Iz BAE System kažu da je malver veoma kompleksan i da ima sve elemente špijunskog alata te je stoga veoma opasan. Zbog toga je, što nije uobičajeno, britanska firma o ovome već obavestila vlade i nacionalne CERT timove o svojim otkrićima pre nego što je objavila rezultate svog istraživanja.
Bez obzira kako ga nazvali, Uroburos ili Snake, moguće je da ono što su firme koje se bave bezbednošću videle 2010. godine ustvari nekoliko međusobno povezanih sajber alata iz istog programa, i da je zbog toga nastala konfuzija oko verzija. Stoga Snake nije toliko sajber oružje koliko komplet špijunskih alata na isti način kao što je Stuxnet bio deo većeg arsenala.
Britanska firma je otkrila jedan zanimljiv detalj o ljudima koji su stvorili Snake: analiza je pokazala da oni rade samo od ponedeljka do petka, od 9 do 6 časova, i da se nove verzije malvera retko puštaju tokom vikenda. To samo znači da profesionalni hakeri nisu roboti već da su plaćeni za posao kao i svi drugi zaposleni ljudi.
Iako se na neki način za Snake znalo već godinama, sve do sada nije otkriven pun obim njegovih mogućnosti, a pretnja koju Snake predstavlja morala bi da se shvati veoma ozbiljno, kažu iz BAE Systems.
Nezavisno od ovoga, G Data je objavila dopunu svoje ranije analize Uroburos/Snake malvera, čiji je ključni zaključak da rootkit modul koristi ranjivost (CVE-2008-3431) da bi zaobišao Microsoft-ov Driver Signature Enforcement na 64-bitnim verzijama Windows-a počev od Windows Vista, što nije nova tehnika, ali je ipak veoma neuobičajena.
Kompletnu analizu ove operacije sajber špijunaže možete naći u izveštaju koji je objavio BAE Systems (pdf), a dopunjenu analizu koju je objavio nemački proizvođač antivirusa možete naći na blogu kompanije G Data.

Izdvojeno
Otkriveno na hiljade lažnih onlajn prodavnica - kupci ostali bez novca na računima

Firma za sajber bezbednost Silent Push otkrila je na hiljade veb sajtova koji se lažno predstavljaju kao sajtovi velikih brendova kao što su Apple i... Dalje
40 lažnih ekstenzija za Firefox krade kriptovalute korisnika

Istraživači sajber bezbednosti iz kompanije Koi Security otkrili su više od 40 ekstenzija za Mozilla Firefox koje kradu privatne ključeve i seed f... Dalje
Budite oprezni: veštačka inteligencija ponekad izmišlja i može vas poslati na lažni veb sajt

Bezbednosni istraživači otkrili su ozbiljan rizik u radu velikih jezičkih modela (LLM), poput popularnih AI asistenata. Naime, kada ih pitate jedno... Dalje
Ažurirajte Chrome odmah: Hakeri koriste ranjivost u veb pregledaču

Google je objavio hitna bezbednosna ažuriranja za Chrome kako bi rešio ozbiljnu ranjivost koja se već zloupotrebljava u napadima. Ovaj „zero-... Dalje
Kada sajber kriminal ubija: Bolnice na udaru ransomware-a
.jpg)
Do skoro, sajber kriminal se uglavnom svodio na krađu podataka ili novca. Ali dva napada ransomware-a na evropske bolnice pokazuju da sajber kriminal... Dalje
Pratite nas
Nagrade