Novi detalji o malveru Uroburos (Snake): nevidljivi malver špijunira od 2005. godine
Vesti, 10.03.2014, 07:52 AM
Misteriozni rootkit “Uroburos” na koga su krajem prošlog meseca upozorili stručnjaci nemačke kompanije G Data koristi se za špijunažu od 2005. godine. Malver je poznat i pod nazivom “Turla”, a stručnjaci firme BAE Systems koji su u petak objavili svoju analizu malvera Uroburos nazvali su malver “Snake”. Prema tvrdnji stručnjaka britanske firme, Uroburos (Snake) je samo jedna komponenta velikog projekta, a autori malvera koristili su različita imena za različite komponente projekta ("Snake", "Uroburos", "Snark", "Sengoku").
Prema izveštaju koji je objavio BAE Systems, malver Snake je skoro deceniju krišom krao informacije iz mreža u SAD i savezničkim zemljama, članicama NATO alijanse, ali i bivšim državama SSSR-a.
Sofisticiran i inovativan, Snake stoji rame uz rame sa malverima koji se pripisuju SAD, kao što je Flame, malver koji je 2012. godine otkrio Kaspersky Lab.
Malver je od 2010. godine 32 puta pronađen u Ukrajini, 11 puta u Litvaniji, 4 puta u Velikoj Britaniji, i mnogo puta u SAD, Belgiji, Gruziji, Rumuniji, Mađarskoj i Italiji. Dva uzorka malvera koje su analizirali stručnjaci su od januara, što ukazuje na to da je kampanja i dalje veoma aktivna a još zanimljivije je i da je veliki broj infekcija ove godine uočen u Ukrajini.
Iako su ovo veoma mali brojevi, u BAE Systems na osnovu iskustva veruju da su veoma indikativni. Pored toga što ovi brojevi reprezentuju samo mali deo stvarnog broja infekcija u ovim ali i drugim zemljama, iz njih se pouzdano može zaključiti da je Snake skoro isključivo namenjen zapadnim zemljama i bivšim sovjetskim republikama.
Za razliku od G Data, ali i nekih drugih kompanija, koje tvrde da tragovi ove sajber špijunaže vode do Rusije, BAE Systems nije imenovao krivca.
Napadi na sisteme američkog ministarstva odbrane 2008. u koje je umešan malver nazvan Agent.BTZ, deo su ove operacije sajber špijunaže. Incident je u više navrata povezivan sa Rusijom, ali bez dodatne elaboracije. Agent.BTZ je verovatno bio rana verzija malvera Snake.
Jasno je da Snake nije komercijalan malver, a njegov razvoj zahtevao je ogromne resurse, pa je verovatno da iza njega stoji neka vlada.
Iz BAE System kažu da je malver veoma kompleksan i da ima sve elemente špijunskog alata te je stoga veoma opasan. Zbog toga je, što nije uobičajeno, britanska firma o ovome već obavestila vlade i nacionalne CERT timove o svojim otkrićima pre nego što je objavila rezultate svog istraživanja.
Bez obzira kako ga nazvali, Uroburos ili Snake, moguće je da ono što su firme koje se bave bezbednošću videle 2010. godine ustvari nekoliko međusobno povezanih sajber alata iz istog programa, i da je zbog toga nastala konfuzija oko verzija. Stoga Snake nije toliko sajber oružje koliko komplet špijunskih alata na isti način kao što je Stuxnet bio deo većeg arsenala.
Britanska firma je otkrila jedan zanimljiv detalj o ljudima koji su stvorili Snake: analiza je pokazala da oni rade samo od ponedeljka do petka, od 9 do 6 časova, i da se nove verzije malvera retko puštaju tokom vikenda. To samo znači da profesionalni hakeri nisu roboti već da su plaćeni za posao kao i svi drugi zaposleni ljudi.
Iako se na neki način za Snake znalo već godinama, sve do sada nije otkriven pun obim njegovih mogućnosti, a pretnja koju Snake predstavlja morala bi da se shvati veoma ozbiljno, kažu iz BAE Systems.
Nezavisno od ovoga, G Data je objavila dopunu svoje ranije analize Uroburos/Snake malvera, čiji je ključni zaključak da rootkit modul koristi ranjivost (CVE-2008-3431) da bi zaobišao Microsoft-ov Driver Signature Enforcement na 64-bitnim verzijama Windows-a počev od Windows Vista, što nije nova tehnika, ali je ipak veoma neuobičajena.
Kompletnu analizu ove operacije sajber špijunaže možete naći u izveštaju koji je objavio BAE Systems (pdf), a dopunjenu analizu koju je objavio nemački proizvođač antivirusa možete naći na blogu kompanije G Data.
Izdvojeno
Sajber kriminalci imaju novu trik: malver šalju poštom
Sajber kriminalci imaju novi trik za inficiranje uređaja malverom: slanje pisama, pravih pisama sa poštanskom markicom, koja sadrže zlonamerne QR k... Dalje
Lažni AI generator slika i video snimaka krade podatke sa Windows i macOS računara
Malveri Lumma Stealer i AMOS trenutno se šire preko veb sajtova na kojima se nudi aplikacija koja se lažno predstavlja kao AI generator slika i vide... Dalje
Proizvođač špijunskog softvera Pegaz nastavio sa napadima na WhatsApp i nakon što je WhatsApp podneo tužbu protiv njega
Neredigovani sudski dokumenti otkrili su da je proizvođač špijunskog softvera NSO Group priznao da je razvijao eksploatacije (exploit) kako bi moga... Dalje
Opasni malver Lumma sakriven u piratskim filmovima i serijama na torent sajtovima
Piratski sadržaj je često dobro mesto za sakrivanje malvera, i to ne bi trebalo da bude iznenađenje za ljude koji ga preuzimaju. Oni koji preduzima... Dalje
Ako je vaša lozinka na ovoj listi, promenite je odmah
NordPass je objavio svoju godišnju listu najpopularnijih lozinki na svetu i drugu godinu zaredom, lozinka „123456“ je zauzela prvo mesto ... Dalje
Pratite nas
Nagrade