Orosz támadás - a kibertérben

Halaska Gábor
2014-03-04 14:12
A német G Data szakértői egy feltehetően orosz eredetű, rendkívül fejlett vírust fedeztek fel a minap, melynek célja, hogy bizalmas adatokat lopjon az Egyesült Államok kormányzati szervezeteinek számítógépeiről. A támadás a hat évvel ezelőtti behatolás folytatásának tűnik - akkor a Pentagonnak 14 hónapjába telt, mire megtisztította hálózatát.

Még anno 2008-ban derült fény az eddigi egyik legnagyobb számítógépes támadásra az Egyesült Államok ellen. Az akció úgy indult, hogy valaki egy USB meghajtót „hagyott el" a Védelmi Minisztérium parkolójában. Az adathordozó az Agent.btz kártevőt tartalmazta, amely megfertőzte az Egyesült Államok katonai hálózatát, és képes volt a megtámadott gépeken hátsó ajtókat nyitni, majd azokon keresztül adatokat szivárogtatni.

A G Data szakértői most egy új, még fejlettebb vírust találtak, és azt állítják, hogy a kártevő az elmúlt három évben már aktívan működhetett. A kémprogram kódjában az Uroburos név szerepel, mely egy ókori görög szimbólumból ered, és egy saját farkába harapó sárkányt ábrázol, ami az önreflexióra, a komplexitásra utal. A név azonban megjelenik a Resident Evil film- és videojáték-sorozatban, méghozzá egy olyan vírus neveként, amelynek segítségével a készítői a világ hatalmi egyensúlyát akarják megváltoztatni.



A rendkívül összetett programkód, az orosz nyelv használata (lenti kép), valamint az a tény, hogy az Uroburos nem aktiválódik az olyan számítógépeken, melyeken az Agent.btz még mindig megtalálható, mind arra utalnak, hogy egy jól megszervezett akcióról van szó, melynek célja a katonai hálózatokból történő információszerzés. A vírus képes arra, hogy adatokat szivárogtasson azokról a számítógépekről, melyek nincsenek közvetlenül az internetre csatlakoztatva. Ennek érdekében saját kommunikációs csatornákat épít ki a hálózatokban, majd azokról a gépekről, melyek nem rendelkeznek online kapcsolattal, olyanokra továbbítja az adatokat, amik csatlakoznak a világhálóra. Mindezt ráadásul úgy teszi, hogy egy nagy hálózatban rendkívül nehéz felderíteni, hogy melyik online számítógép az, amelyik kilopja az adatokat a világhálóra nem csatlakoztatott munkaállomásról, majd továbbítja ezeket a kártevő készítői számára.



Informatikai felépítését tekintve az Uroburos egy úgynevezett rootkit, mely két fájlból jön létre, egy driverből és egy virtuális fájlrendszerből. A rootkit képes átvenni a megfertőzött számítógép feletti irányítást, parancsokat végrehajtani és rendszerfolyamatokat elrejteni. Moduláris felépítésének köszönhetően bármikor frissíthető új tulajdonságokkal, ami rendkívül veszélyessé teszi. A driver fájl programozási stílusa összetett és diszkrét, így nehéz azonosítani. A G Data szakértői hangsúlyozzák, hogy egy ilyen kártevő elkészítése komoly fejlesztői csapatot és tudást igényel, ami szintén valószínűsíti, hogy célzott támadásról van szó. Az a tény, hogy a kártékony kódban különválik a meghajtóprogram és a virtuális fájlrendszer, azt is jelenti, hogy csak mindkettőnek a birtokában lehet analizálni a rootkit keretrendszerét, ez pedig rendkívül nehézzé teszi az Uroburos felismerését. A kártevő technikai működéséről bővebb információ a G Data vírusirtó magyarországi honlapján olvasható.