Сигурност

Невидимо руско кибер оръжие вилнее в САЩ и Украйна от 2005 г.

Владимир Владков

Мистериозно кибер оръжие „Uroburos", разкрито миналата седмица в Германия, вилнее сред жертвите си от 2005 г. насам, ката правителствата и големите корпорации трябва спешно да му обърнат внимание, предупреди британската фирма за сигурност BAE Systems.

Неотдавнашен анализ на немската фирма G Data го нарече „Uroburos", макар че той познат на някои фирми за сигурност и като Turla. Поделението Applied Intelligence на BAE Systems, което публикува днес собствено разследване, предпочита да го нарича „Змия", но под всичките му имена това явление е опасно.

Според BAE Systems, кибер оръжието„Snake" се разпространява тихомълком в мрежите на САЩ и страните от НАТО, както и в страни от бившия Съветски съюз от десетилетие, крадейки данни, ставайки все по-сложно и модулно, оставайки почти невидимо.

Това не е някакъв стар зловреден код. Snake просто „живее" твърде отдавна, твърде сложно е, твърде неуловимо, дори иновативно. Изглежда, че то действа заедно със сложни кибер оръжия, насочени срещу САЩ, като Flame, анализиран от Kaspersky Lab през 2012 г.

След няколко месеца усилени проучвания британската фирма ни предлага нов анализ, който за първи път споменава конкретни данни за целите. Подбрани данни от сайтове за изследване на зловреден код (т.е. онези, от които се подозира, че са взети проби за проверка за зловреден софтуер) показват, че той е бил забелязан 32 пъти в Украйна от 2010 г. насам, 11 пъти в Литва, четири пъти в Обединеното кралство, и няколко пъти в САЩ, Белгия, Грузия, Румъния, Унгария и Италия.

Това са твърде малко на брой случаи, но BAE Systems смята, че на базата на минал опит те са много показателни. Въпреки че представляват малка частица от заразяванията, които евентуално са се случили в тези страни, те могат да бъдат използвани като надеждна „подсказка", че Snake е била насочена срещу западни страни и техни партньори.

Белези за произхода на зловредния код изплуват от време на време. През 2008 г. Министерството на отбраната на САЩ обяви, че нещо, наречено Agent.btz, е атакувало неговите системи, като инцидентът по-късно бе приписан на Русия без по-нататъшно уточняване.

Освен това доказателствата са косвени. Ако приемем, че Agent.btz вероятно е ранна версия на Snake, зловредният код съдържа и други следи, часът на компилиране показва поясът UTC+4, а в кода са открити и руски справки. И тъй като това не е комерсиален зловреден код и изисква големи развойни ресурси, Snake вероятно е правен от правителствена служба на страна, започваща с „Р".

„Елементът на принадлежност винаги е бил труден, казва управляващият директор на BAE Systems Applied Intelligence Дейвид Гарфийлд. - Той се превръща в догадки и би било опасно да се правят твърде много предположения. Но този зловреден код е твърде сложен, той притежава всички елементи на шпионски инструмент, много е сериозна ситуацията", добавя Гарфийлд.

Интересно е, че фирмата вече е информирала правителствата, законодатели и националните организации по киберсигурност CERT за своите изводи, преди да публикува своето проучване. Гарфийлд очаква, че все още има многобройни варианти вътре в атакуваните мрежи, което ще направи „лечението" сложно и времеемко.

Независимо дали се нарича Uroburos, Snake или Turla (последното е 32-битов rootkit), е напълно възможно онова, което фирмите за сигурност виждат от 2010 г. насам, всъщност да са няколко взаимно свързани кибер оръжия от същата програма, откъдето идва объркването на вариантите. При това тълкувание Snake не е толкова стабилен шпионски инструмент, поне не по начина, по който Stuxnet бе част от по-голям арсенал.

BAE Systems разкри едно – две интересни сведения за хората, които са правили Snake: времето на компилиране на кода показва, че са работили в цикъл понеделник до петък, рядко има вариант, дописван през уикенда. Това подсказва за професионални кибер престъпници, които не са роботи и получават заплата за работата си като всички останали програмисти.

„Това проучване още един път демонстрира как организирани и добре финансирани съветници ползват изключително сложни инструменти и техники за масирано атакуване на легитимни организации", казва Мартин Сътърланд, управляващ директор на BAE Systems Applied Intelligence.

„Въпреки че от години се знае за кода Snake, досега мащабът на неговите способности не бе разкриван, а заплахите, които този мащаб поставя, трябва да бъдат разгледани много сериозно", добавя той.

В отделно изявление G Data обнови своите предишни анализи на Snake/Uroburos, отбелязвайки, че rootkit модулът ползва уязвимост (CVE-2008-3431), за да заобиколи системите на Microsoft Driver Signature Enforcement в 64-битовите версии на Windows от Vista насам. На практика това е начин да се накара ОС да смята, че работи в развоен режим. Това заобикаляне не е новост, но все още е необичайно. 

Techworld.com 





© Ай Си Ти Медиа ЕООД 1997-2019 съгласно Общи условия за ползване

X