Het spionageprogramma Uroburos is voor het eerst opgedoken bij de aanval op de aanval op een ministerie van een EU-staat. Vorig weekeinde werd al bekend dat het Belgische ministerie van Buitenlandse Zaken was aangevallen. De Vlaamse krant de Standaard zegt vanuit betrouwbare bron bevestiging te hebben gekregen dat bij deze aanval gebruik is gemaakt van de Uroburos-spionagemalware. De beveiligingsexperts van G DATA hebben in februari 2014 al gewaarschuwd voor deze spionagemalware en gewezen op de vermoedelijke slachtoffers van deze hoogcomplexe Rootkit: “Uroburos is gericht op grote netwerken van ondernemingen, overheidsinstellingen en inlichtingendiensten.”
Wat is er gebeurd?
In het afgelopen weekeinde werd duidelijk dat er een cyberaanval heeft plaatsgevonden op het netwerk van het Belgische ministerie van Buitenlandse Zaken. Daarbij zouden ‘informatie en documenten over de Oekraïne-crisis’ uit het netwerk zijn gesluisd, aldus de minister Didier Reynders. De aanvallen vonden vorige week plaats. Over de daders is nog niets bekend, behalve dan dat zij Russisch (kunnen) spreken. Inmiddels in bekend dat de aanvallers gebruik hebben gemaakt van de Uroburos-malware voor de aanval.
Achtergrondinformatie over Uroburos
De door G DATA ontdekte Rootkit met de naam Uroburos (door andere partijen soms ook ‘Snake’ genoemd) werkt autonoom en verspreidt zich zelfstandig over het geïnfecteerde netwerk. Ook pc’s die niet rechtstreeks met het internet zijn verbonden, worden geïnfecteerd. Dergelijke software kan naar het idee van G DATA alleen met hoge investeringen worden gemaakt. Het ontwerp en de hoge complexiteitsgraad doen vermoeden dat het hier om een product van een geheime dienst gaat. Op basis van de technische details, zoals datanamen, versleuteling en gedrag van de malware bestaat het vermoeden, dat Uroburos dezelfde oorsprong heeft als de in 2008 ontdekte ‘Agent.BTZ’, die in dat jaar is gebruikt bij de cyberaanval op het Amerikaanse leger.
Uroburos is een Rootkit, die uit twee delen bestaat: een driver en versleuteld virtueel datasysteem. Met behulp van dit programma kan een aanvaller de controle over een geïnfecteerde pc krijgen, naar wens programmacode uitvoeren op de computer en zijn systeemactiviteit verbergen. Uroburos is daarnaast in staat gegevens onder versleuteling te stelen. Door de modulaire opbouw kunnen aanvallers de malware met andere functionaliteiten uitbreiden. Vanwege de flexibiliteit van de malware wordt deze als G DATA als zeer gevaarlijk bestempeld.
