Немецкая антивирусная компания G Data Security утверждает, что российские власти стоят за созданием нового вредоносного кода Uroburos. В G Data утверждают, что вредонос имеет российские корни, во-первых, из-за сложного кода, традиционного для про-российских кодов, во-вторых, здесь есть некоторые элементы исходников, которые прежде уже использовались российскими “госхакерами”, а в-третьих, в исходном коде Uroburos есть комментарии на русском языке.
Антивирусная компания утверждает, что автор кода использует криптографические ключи и логику поведения, схожие с теми, что ранее использовались российскими вредоносными кодами. Кроме того, в процессе работы Uroburos ищет на целевых системах другое вредоносное ПО, имеющее российские про-государственные корни. “Было установлено, что Uroburus занимается поиском в системе кода Agent.BTZ и может работать с ним в паре”, – говорят в G Data. Напомним, что Agent.BTZ представляет собой вредоносный код, созданный в 2008 г. для атаки ИТ-систем Пентагона.
На конференции TrustyCon известный антивирусный специалист Микко Хиппонен из компании F-Secure, представил доклад, в котором заявил, что на сегодня в реальности немногие страны на государственном уровне финансируют создание вредоносного программного обеспечения, в том числе Россия и США. “Еще 10 лет назад такое казалось бы научной фантастикой”, – говорит Хиппонен. Наиболее известным “гос-вирусом” на сегодня считается Stuxnet, направленный на атаку иранских ядерных объектов. Считается, что за данным кодом стоит совместная группа программистов из США и Израиля, создавшая код на правительственные деньги.
Что касается Uroburos, то этот код представляет собой руткит из двух файлов. Он использует ряд технологий, затрудняющих его обнаружение в зараженной системе. Здесь присутствует специализированный драйвер и виртуальная файловая система, которые позволяют вредоносу исполнять удаленные команды оператора, скрывать системную активность на пораженном компьютере и выполнять другие действия. Кроме того, вредонос обладает довольно гибкой модульной архитектурой, которая позволяет добавлять и удалять модули под нужды конкретной кампании.
В G Data говорят, что Uroburos – это один из самых продвинутых руткитов, и хотя он берет свое начало еще в 2011 г, его код довольно сложен даже по нынешним меркам. Так, код попав на компьютер с интернет-подключением может по цепочке заражать компьютеры, которые не имеют такого подключения и проникать в изолированные системы. Помимо этого, код указывает на существование версий для 32- и 64-битных архитектур. Также антивирусная компания отмечает, что пока она не завершила анализ кода и продолжает наблюдать за ситуацией. (G Data/NovostIT)