Skocz do zawartości
Forum Kopalni Wiedzy
KopalniaWiedzy.pl

Uroburos z Rosji

Rekomendowane odpowiedzi

Niemiecka firma G Data SecurityLabs uważa, że za szkodliwym kodem o nazwie Uroburos stoją Rosjanie, a konkretnie któraś z rosyjskich agend rządowych. Uroburos to zaawansowany rootkit, który został stworzony nie później niż w 2011 roku.

Uroburos to rootkit składający się z dwóch plików, drivera oraz zaszyfrowanego wirtualnego systemu plików. Jest on w stanie przejąć kontrolę nad zainfekowaną maszyną i ukryć swoją obecność. Może kraść informacje – przede wszystkim pliki – oraz przechwytywać ruch w sieci - czytamy w ekspertyzie G Data SecurityLabs.

Uroburos pracuje z 32- i 64-bitowymi systemami Microsoftu. Działa w trybie P2P, co pozwala napastnikom na zainfekowanie maszyn w sieci wewnętrznej nawet wówczas, gdy nie mają one bezpośredniego połączenia z internetem.

Rootkit może szpiegować każdą zainfekowaną maszynę i może wysłać napastnikom dowolne dane z komputerów ofiary. Wystarczy, że jedna z maszyn w sieci wewnętrznej ma połączenie z internetem - stwierdzili eksperci.

Niemcy na razie nie potrafią określić dokładnego mechanizmu infekcji. Udało im się natomiast stwierdzić, że jeden z plików rootkita został skompilowany w 2011 roku, zatem Uroburos działa od co najmniej 3 lat.

Eksperci podejrzewają też, że twórcą Uroburosa jest ta sama organizacja, która w 2008 roku wykorzystała szkodliwy kod o nazwie Agent.BTZ do zaatakowania celów w USA. Uroburos sprawdza, czy dana maszyna jest zainfekowana kodem Agent.BTZ. Jeśli zostanie on wykryty, Uroburos nie aktywuje się, informują Niemcy dodając, że zarówno w kodzie Agenta.BTZ jak i Uroburosa znajdują się rosyjskie wyrazy.



« powrót do artykułu

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

To jeszcze nie dowód, ze to agenda rządowa za tym stoi.

Poza tym rosyjskie wyrazy... Czy Rosjanie byliby takimi idiotami, żeby zwracać na siebie uwagę w taki sposób???

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli jakieś ślady w kodzie tego nie sugerują, to zwykle kryterium skomplikowania i sposobu infekcji może to sugerować. Przykładowo pamiętny Stuxnet (czy też Flame, Duqu, Gauss) wykorzystywał tyle 0-dayów, że mało prawdopodobnym było, iż to grupa niepowiązana z jakimś rządem je odkryła lub zakupiła. W tamtym przypadku w kodzie również znaleziono narodowe wskazówki, które okazały się prawdziwe. Więc tak, to głupota lub nieuwaga.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...