UROBUROS نرمافزار جاسوسی بسیار پیچیده با منشأ روسی!
کارشناسان امنیتی شرکت آلمانی جی دیتا بدافزار پیچیده و خطرناکی را کشف کرده اند که برای دزدیدن اطلاعات سری تولید شده است.
به گزارش ایتنا از شرکت رایان سامانه آرکا، متخصصان امنیتی G Data بخش بسیار پیشرفته و پیچیدهای از بدافزار را تحلیل کردهاند که برای سرقت اطلاعات محرمانه طراحی شده بود.
G Data از آن به عنوان Uroburos نام میبرد که با رشتهای یافت شده در رمز بدافزار به تبعیت از سمبل کهن نمایش یک مار کبری یا اژدها در حال خوردن دمش، مرتبط است.
Uroburos چیست؟
Uroburos روت کیتی مرکب از دو فایل است٬ یکی راهانداز و دیگری سیستم فایل مجازی رمزگذاری میباشد.
یک روت کیت دارای قدرت به اختیارگیری سیستم آلوده و اجرای دستورات دلخواه و مخفی نمودن فعالیتهای سیستم است و قادر است اطلاعات را سرقت(اکثراً فایلها) و همچنین ترافیک شبکه را ضبط نماید.
ساختار ماژولارش براي آن توان توسعه خود با قابلیتهای جدید را فراهم میکند که این نه تنها آن را بسیار پیچیده٬ بلکه بسیار انعطافپذیر و خطرناک میسازد.
بخش راه انداز Uroburos بیش از اندازه پیچیده است و به گونه اي طراحی شده که خیلی مجزا از هم بوده و تشخیص آن خیلی مشکل باشد.
پیچیدگی تکنولوژیکی نشانگر ارتباط آن با آژانسهای جاسوسی میباشد. ایجاد قالبی مانند Uroburos سرمایهگذاری عظیمی میطلبد. به وضوح تیم خلاق پشت این بدافزار متخصصان کامپیوتر با مهارتی بالا هستند به طوری که از ساختار و طراحی پیشرفته روت کیت قابل استنتاج است.
ما بر این باوریم که تیم پشتیبان Uroburos کارشان را روی انواع بسیار پیشرفته ای ادامه میدهند که هنوز باید کشف شوند.
Uroburos برای کار کردن به صورت همتا(peer-to-peer) طراحی شده بدین معنی که سیستمهای آلوده با هدایت مهاجمان از راه دور بین خودشان ارتباط برقرار میکنند.
با هدایت یکی از سیستمهای آلوده که به شبکه اینترنت متصل باشد بدافزار قادر به آلوده کردن سیستمهای بیشتری در شبکه میباشد٬ حتی آنهایی که به شبکه اینترنت متصل نیستند.
بدافزار میتواند از هر یک از سیستمهای آلوده جاسوسی نموده و اطلاعات جمع آوری شده را از طریق سیستمهای آلوده به سیستمی دارای اتصال اینترنتی است رسانده و به مهاجمان ارسال کند.
این رفتار بدافزار نمونهای از انتشار در شبکه شرکتهای عظیم و سازمانهای عمومی است.
مهاجمان پیشبینی میکنند که یقیناً کامپیوترهایی منفک از شبکه اینترنت در هدف حملهشان وجود دارند و از این تکنیک به عنوان نوعی راه حل برای دستیابی به اهدافشان استفاده میکنند.
Uroburos سیستم عامل Microsoft Windows ۳۲ و ۶۴ بیتی را پشتیبانی میکند.
بدلیل پیچیدگی این بدافزار و با ملاحظه پیچیدگی تکنیکهای بکار برده شده در آن، گمان میرود که این روت کیت٬ دولتها، موسسات تحقیقاتي و یا شرکتهای بزرگ را مورد هدف قرار میدهد.
گمانهزنی ارتباط حمله روسها با حمله انجام شده بر ضد ایالات متحده!
به دلیل جزئیات تکنیکی زیاد(نام فایل، کلیدهای رمزگذاری، رفتار و جزئیاتی که در این گزارش ذکر شده است) احتمال ميدهيم که گروه پشت سر Uroburos همان گروهی است که حمله ای سایبری بر ضد ایالات متحده آمریکا در ۲۰۰۸ با یک بدافزار بنام Agent.BTZ. انجام داد.
Uroburos حضور Agent.BTZ. کنترل کرده و در صورت نصب آن در سیستم، غیرفعال باقی میماند.
ظاهراً پدیدآورندگان Uroburos به زبان روسی صحبت میکنند که این مویّد ارتباطش با Agent.BTZ. است.
افزون بر این، مطابق مقالات یک روزنامه عمومی، این واقعیت(استفاده از زبان روسی)، شامل پدیدآوردگان Agent.BTZ. نیز میشود.
مطابق کلیه شواهدی که ما از تحقیق و تحلیلهای بدافزار بدست آوردیم به این حقیقت اطمینان داریم که حملاتی که توسط Uroburos انجام میشود افراد نامعلوم مورد هدف قرار نمیگیرند بلکه بنگاههای اقتصادی بسیار برجسته، حکومتها، سازمانهای جاسوسی و اهداف مشابه هدفگیری میشوند.
Uroburos احتمالاً حداقل به مدت سه سال پنهان مانده است!
روت کیت Uroburos یکی از پیشرفتهترین روت کیتها است که ما تا بحال در این زمینه تحلیل کردهایم.
قدیمیترین راهاندازی که ما شناسائی کردیم در سال ۲۰۱۱ جمع آوری شد این بدان معنی است که اين حمله حداقل به مدت سه سال پنهان باقی مانده است.
حامل آلودگی هنوز ناشناخته است
این که چگونه Uroburos ابتدا توانست به شبکههای بسیار برجسته نفوذ کند در این مرحله از تحقیقات ناشناخته است.
حاملهایِ آلودگیِ زیادی همچون spear phishing، drive-by-infections، حافظه فلش USB یا حملات مهندسی اجتماعی امکانپذیر قابل تصور هستند.
دیدگاه خود را ثبت کنید
تمایل دارید در گفتگوها شرکت کنید؟در گفتگو ها شرکت کنید.