Uroburos: hoogcomplexe spionagesoftware met Russische wortels

Experts van G Data hebben een zeer complexe vorm van malware geanalyseerd. Deze malware is ontworpen om vertrouwelijke gegevens te stelen. G Data noemt de malware Uroburos, vanwege een regel in de code van de malware en de verwijzing naar het oud-Griekse mythologische symbool van een slang die zichzelf in de staart bijt.

Belangrijkste conclusies tot nu toe:
–          Uroburos is een rootkit, die uit twee bestanden bestaat: een driver en een versleuteld virtueel filesysteem. Het houdt zichzelf goed schuil op een geïnfecteerd systeem
–          Uroburos kan informatie stelen (vooral bestanden) en netwerkverkeer opvangen
–          Het is modulair opgebouwd, waardoor het gemakkelijk op een later tijdstip kan worden uitgebreid
–          De malware zit zeer geraffineerd in elkaar en wordt vermoedelijk nog altijd doorontwikkeld
–          De malware werkt in peer2peer-modus, waarmee verspreiding binnen een netwerk gemakkelijk is (ook van pc’s die niet op internet zijn aangesloten) en het verwijderen ingewikkeld.
–          Vanwege verschillende aanwijzingen (o.a. bestandsnamen, encryptiesleutels, gedrag), vermoeden de G Data-onderzoekers dat deze malware door dezelfde makers is gemaakt als de malware die in 2008 werd ingezet tegen de overheid van de Verenigde Staten (Agent.BTZ)
–          De makers lijken Russisch te zijn, vanwege het gebruik van de Russische taal in gevonden samples
–          De oudste sample die de G Data-experts hebben gevonden dateert uit 2011, wat betekent dat deze malware minimaal drie jaar ontgedetecteerd zijn werk heeft kunnen doen.
–          Het is nog onduidelijk hoe de initiële infectie plaatsvindt

Meer gedetailleerde informatie is hier te vinden.

 

 

Geef een reactie

Gerelateerde berichten...

X