Skin ADV

Gli esperti di sicurezza di G Data hanno scoperto e analizzato un sofisticatissimo e complesso spyware. Questo software è stato progettato per rubare informazioni segrete altamente sensibili su network di primaria importanza quali quelli di istituzioni governative, servizi di intelligence e gradi aziende. Il rootkit, chiamato “Uroburos”, lavora in modo autonomo e si diffonde da solo nelle reti infette. Perfino i computer che non sono direttamente connessi a Internet vengono attaccati da questo malware.

uroburos dragon

G Data ritiene che sviluppare questo tipo di software richieda sostanziali investimenti sia in termini di personale che di infrastruttura. Il design e l’alto livello di complessità del malware lasciano presumere che sia stato sviluppato da dei servizi segreti. Basato su dettagli tecnici come nomi di file, crittazione, software behaviour, si sospetta che Uroburos possa provenire dalla stessa fonte che aveva già lanciato un cyber attacco contro gli Stati Uniti nel 2008. Il quell’occasione fu usato il malware chiamato “Agent.BTZ”. G Data stima che questo spyware sia rimasto non identificato per almeno tre anni.

Che cos’è Uroburos?
Uroburos è un rootkit che consiste di due file – un “driver” e un “encrypted virtual file system”. Questo malware può essere usato per prendere il controllo dei PC infetti, eseguire qualsiasi programma sul computer e nascondere le proprie azioni sul sistema. Uroburos è anche in grado di rubare data e registrare il traffico di dati nella rete. La sua struttura modulare consente di potenziare il malware con funzioni addizionali. Grazie a questa flessibilità e modularità, G Data ritiene che questo rootkit sia molto avanzato e pericoloso.

La complessità tecnica indica che l’origine siano i servizi segreti
La complessità e il design di Uroburos dimostra che il malware è stato molto costoso da sviluppare. G Data ritiene che pertanto siano stati coinvolti sviluppatori molto esperti e capaci. Si può inoltre presumere che non siano stati coinvolti cyber criminali nel suo sviluppo, ma che dietro di esso ci siano dei servizi segreti. G Data ritiene inoltre che i programmatori abbiano sviluppato anche un rootkit ancora più avanzato che non è stato ancora scoperto.
Uroburos è progettato per lavorare su grandi network di aziende, autorità pubbliche, organizzazioni e istituti di ricerca: il malware si diffonde automaticamente e lavora in modalità “peer-to-peer”, dove i computer infetti in un network chiuso comunicano direttamente l’uno con l’altro. Basta che vi sia anche solo un computer con accesso a Internet. I computer infetti spiano documenti o altri dati e li trasferiscono poi al PC dotato di connessione Internet dove tutti i dati vengono raccolti per poi essere trasferiti sul PC di chi ha condotto l’attacco. Uroburos supporta Microsoft Windows sia a 32 che 64 bit.

Sospetti collegamenti con l’attacco russo agli USA nel 2008
Basandosi sulle sue caratteristiche tecniche, gli esperti di G Data hanno evidenziato una connessione tra Uroburos e il cyber attacco condotto negli Stati Uniti nel 2008 tanto da pensare che i responsabili siano gli stessi. In quell’occasione fu usato il malware chiamato “Agent.BTZ”. Uroburos controlla i sistemi infetti per vedere se il malware è già stato installato, nel cui caso non diventa attivo.

G Data ha inoltre trovato indicazioni secondo le quali gli sviluppatori di entrambe i programmi malware parlano russo. L’analisi dimostra che chi sta conducendo questo attacco non prende di mira i normali utenti Internet. Gli sforzi profusi nello sviluppo di questo malware sono giustificati da obbiettivi molto più importanti come grandi aziende, istituzioni pubbliche, servizi segreti, organizzazioni e altri obbiettivi simili.

Non identificato per più di tre anni!
Il rootkit Uroburos è il malware più avanzato che gli esperti di G Data abbiano mai analizzato.Il più vecchio driver che è stato trovato durante questa analisi risale al 2011. Questo dimostra che l’attacco è rimasto non individuato per ben tre anni.

Il vettore dell’infezione non è stato identificato
A oggi non è possibile determinare come Uroburos si sia inizialmente infiltrato nei grandi network. L’attacco si può attuare in diversi modi, per esempio attraverso phishing, infezioni di tipo drive-by o social engineering.

Cosa significa il nome?
G Data ha chiamato questo malware “Uroburos” sulla base di un nome corrispondente trovato nel codice sorgente. Il nome è basato su un antico simbolo greco raffigurante un serpente o un drago che si morde la propria cosa.

Una dettagliata analisi tecnica è disponibile qui: https://www.gdata.de/rdk/dl-en-rp-Uroburos

Delicious
Submit to Digg
StumbleUpon
Dino Fratelli
Autore: Dino Fratelli
Esperto in:
CPU, schede madri, storage, tablet, audio
Laureato in Ingegneria Elettronica è stato caporedattore di uno fra i primi portali di tecnologia italiani e redattore di articoli per altre testate come Punto Informatico. Da sempre appassionato di hardware, audio e videogame.
Notizie postate da Dino FratelliArticoli postati da Dino Fratelli
1154
news
65
articoli
    

Ultime dal forum



I giochi del momento! (510 messaggi)
Ultimo messaggio di: Bivvoz (18/08/2019 17:37)

No Man's Sky (27 messaggi)
Ultimo messaggio di: Italia 1 (17/08/2019 10:48)

[Official Thread] AMD GPU Navi RX5000 (642 messaggi)
Ultimo messaggio di: Mini4wdking (14/08/2019 19:27)

Thread delle Offerte Online (453 messaggi)
Ultimo messaggio di: Fottemberg (14/08/2019 16:27)

[Official Topic] AMD "Zen" (2490 messaggi)
Ultimo messaggio di: lux83 (14/08/2019 10:37)

Consiglio proiettore (6 messaggi)
Ultimo messaggio di: Mini4wdking (09/08/2019 11:19)

[Official Thread] GPU Nvidia Volta e Turing (271 messaggi)
Ultimo messaggio di: Bivvoz (09/08/2019 07:23)

Sharkoon Gaming DAC Pro S e problema fruscio di fondo (7 messaggi)
Ultimo messaggio di: _BLuca_ (06/08/2019 17:04)

Il meglio dal forum



[Guida] all'overclock di AMD Ryzen.
Il thread per spiegare ai novizi come overclockare le CPU Ryzen, per raccogliere pareri e per scambiarci suggerimenti.

[Official Topic] AMD APU Kabini, Temash, Kaveri e... Carrizo.
Discutiamo le ultime novità sulle APU AMD basate su microarchitettura Bulldozer e Jaguar.

[Waiting for] AMD GPU Polaris & Vega (ex-Arctic Islands).
Discutiamo le ultime novità sulle GPU Polaris di AMD, senza dimenticarci di Vega!

[Official Topic] Nvidia Pascal GPU.
Discutiamo le ultime novità sulle GPU Pascal di NVIDIA e su quanto ci aspetta in futuro!

[Official Topic] AMD "Zen".
Discutiamo le ultime novità sulla microarchitettura x86 Zen di AMD e le CPU/APU in arrivo.

Creative Sound Blaster e Windows 10/8.1/8/7/Vista.
Dedicato a tutti i possessori delle schede audio di Creative Labs!

B&C e la questone "degli articoli prezzolati".
Perché B&C è un portale diverso?