Orosz kémprogram vadászik katonai adatokra – vírustámadás a Pentagon ellen
A G Data szakértői most egy új, még fejlettebb vírust találtak, és azt állítják, hogy a kártevő a múlt három évben már aktívan működhetett. A kémprogram kódjában az Uroburos név szerepel, mely egy ókori görög szimbólumból ered, és egy saját farkába harapó sárkányt ábrázol, ami az önreflexióra, a komplexitásra utal. A név azonban megjelenik a Resident Evil film- és videojáték-sorozatban, méghozzá egy olyan vírus neveként, amelynek segítségével a készítői a világ hatalmi egyensúlyát akarják megváltoztatni.
A rendkívül összetett programkód, az orosz nyelv használata, valamint az a tény, hogy az Uroburos nem aktiválódik az olyan számítógépeken, melyeken az Agent.btz még mindig megtalálható, mind arra utalnak, hogy egy jól megszervezett akcióról van szó, melynek célja a katonai hálózatokból történő információszerzés. A vírus képes arra, hogy adatokat szivárogtasson azokról a számítógépekről, melyek nincsenek közvetlenül az internetre csatlakoztatva. Evégett saját kommunikációs csatornákat épít ki a hálózatokban, majd azokról a gépekről, melyek nem rendelkeznek online kapcsolattal, majd az internetre csatlakozókra továbbítja az adatokat. Mindezt ráadásul úgy teszi, hogy egy nagy hálózatban rendkívül nehéz felderíteni, melyik online számítógép az, amelyik kilopja az adatokat a világhálóra nem csatlakoztatott munkaállomásról, majd továbbítja őket a kártevő készítői számára.
Informatikai felépítését tekintve az Uroburos egy rootkit, mely két fájlból jön létre, egy-egy meghajtóprogramból és virtuális fájlrendszerből. A rootkit képes átvenni a megfertőzött számítógép feletti irányítást, parancsokat végrehajtani és rendszer-folyamatokat elrejteni. Moduláris felépítése révén bármikor frissíthető új tulajdonságokkal, ami rendkívül veszélyessé teszi. A driver-fájl programozási stílusa összetett és diszkrét, így nehéz azonosítani.
A G Data szakértői hangsúlyozzák, hogy egy ilyen kártevő elkészítése különösen nagy tudású fejlesztői csapat munkája, ami szintén valószínűsíti, hogy célzott támadásról van szó. Az a tény, hogy a kártékony kódban különválik a meghajtóprogram és a virtuális fájlrendszer, azt is jelenti, hogy csak mindkettőnek a birtokában lehet analizálni a rootkit keretrendszerét, ez pedig rendkívül nehézzé teszi az Uroburos felismerését. A kártevő technikai működéséről bővebb információ a G Data vírusirtó magyarországi honlapján olvasható.
