Spionagesoftware met Russische wortels steelt vertrouwelijke gegevens

computers

computersUroburos: hoogcomplexe spionagesoftware met Russische wortels

Experts van G Data hebben een zeer complex stuk malware geanalyseerd. Deze malware is ontworpen om vertrouwelijke gegevens te stelen. G Data noemt de malware Uroburos, vanwege een regel in de code van de malware en de verwijzing naar het oud-Griekse mythologische symbool van een slang die zichzelf in de staart bijt.

Belangrijkste conclusies tot nu toe:

– Uroburos is een rootkit, die uit twee bestanden bestaat: een driver en een versleuteld virtueel filesysteem. Het houdt zichzelf goed schuil op een geïnfecteerd systeem

– Uroburos kan informatie stelen (vooral bestanden) en netwerkverkeer opvangen

– Het is modulair opgebouwd, waardoor het gemakkelijk op een later tijdstip kan worden uitgebreid

– De malware zit zeer geraffineerd in elkaar en wordt vermoedelijk nog altijd doorontwikkeld

– De malware werkt in peer2peer-modus, waarmee verspreiding binnen een netwerk gemakkelijk is (ook van pc’s die niet op internet zijn aangesloten) en het verwijderen ingewikkeld.

– Vanwege verschillende aanwijzingen (o.a. bestandsnamen, encryptiesleutels, gedrag), vermoeden de G Data-onderzoekers dat deze malware door dezelfde makers is gemaakt als de malware die in 2008 werd ingezet tegen de overheid van de Verenigde Staten (Agent.BTZ)

– De makers lijken Russisch te zijn, vanwege het gebruik van de Russische taal in gevonden samples

– De oudste sample die de G Data-experts hebben gevonden dateert uit 2011, wat betekent dat deze malware minimaal drie jaar ontgedetecteerd zijn werk heeft kunnen doen.

– Het is nog onduidelijk hoe de initiële infectie plaatsvindt

Meer gedetailleerde informatie, die vandaag doorlopend up-to-date gehouden zal worden, in te vinden op http://blog.gdatasoftware.com/blog/article/uroburos-highly-complex-espionage-software-with-russian-roots.html

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here