Ruski rootkit Uroburos

Matej Huš

5. mar 2014 ob 07:39:50

Nemško podjetje G-Data je odkrilo kos zlonamerne programske opreme za prestrezanje podatkov, ki so ga najverjetneje napisali v ruskih obveščevalnih agencijah. Imenuje se Uroburos in neopaženo deluje že vsaj tri leta.

Kot je razvidno iz podrobnega poročila, gre za zelo dovršen kos programske opreme oziroma rootkit, ki ga sestavljata gonilnik in šifriran virtualni datotečni sistem. Ime je dobil po besedi, ki se pojavlja v njegovi kodi, in pomeni kačo, ki grize lasten rep.

Uroburos je sposoben okužiti računalnike, na katerih teče kakšna izmed različic sistema Windows. Ko ga okuži, začne krasti datoteke in prestrezati omrežni promet, njegova modularna zgradba pa omogoča enostavno dodajanje funkcionalnosti. Okuženi računalniki komunicirajo med seboj (P2P), nekateri med njimi pa tudi z nadzornimi strežniki na internetu.

V G-Data ocenjujejo, da je program nastal na ruskem govornem področju, ker ima v kodi fraze in komentarje v ruščini, čeprav jih je seveda mogoče podtakniti. Glede na kompleksnost in dovršenost programa sklepajo, da so ga napisali hekerji s podporo in financiranjem vlade. Uroburos ima tudi nekaj podobnosti s programom Agent.BTZ, ki so ga leta 2008 uporabili za internetne napade na Pentagon in ga pripisujejo Rusom. Uroburos celo preveri, ali je prisoten Agent.BTZ, in se v tem primeru ne zažene.

V trenutni verziji Uroburosa so datoteke, ki so bile prevedene leta 2011, tako da lahko sklepamo, da se program širi in uporablja že vsaj tri leta. Na internetu torej svoje moči merijo ZDA, Izrael, Kitajska, Rusija in verjetno tudi Španija, skoraj zagotovo pa tudi druge države.