جاسوس افزار یوروبورس در کمین شما است!

کارشناسان امنیتی شرکت آلمانی جی دیتا بدافزار پیچیده و خطرناکی را کشف کرده اند که برای دزدیدن اطلاعات سری تولید شده است.

متخصصان امنیتی G Data بخش بسیار پیشرفته و پیچیده ای از بدافزار را تحلیل کرده اند که برای سرقت اطلاعات محرمانه طراحی شده بود. G Data از آن به عنوان Uroburos نام می برد که با رشته ای یافت شده در رمز بدافزار به تبعیت از سمبل کهن نمایش یک مار کبری یا اژدها در حال خوردن دمش، مرتبط است.

Uroburos چیست؟
Uroburos روت کیتی مرکب از دو فایل است٬ یکی راه انداز و دیگری سیستم فایل مجازی رمزگذاری میباشد. یک روت کیت دارای قدرت به اختیارگیری سیستم آلوده و اجرای دستورات دلخواه و مخفی نمودن فعالیتهای سیستم است و قادر است اطلاعات را سرقت( اکثراً فایلها) و همچنین ترافیک شبکه را ضبط نماید. ساختار ماژولارش برای آن توان توسعه خود با قابلیت های جدید را فراهم میکند که این نه تنها آن را بسیار پیچیده ٬ بلکه بسیار انعطاف پذیر و خطرناک می سازد. بخش راه انداز Uroburos بیش از اندازه پیچیده است و به گونه ای طراحی شده که خیلی مجزا از هم بوده و تشخیص آن خیلی مشکل باشد.

پیچیدگی تکنولوژیکی نشانگر ارتباط آن با آژانس های جاسوسی می باشد

ایجاد قالبی مانند Uroburos سرمایه گذاری عظیمی می طلبد. به وضوح تیم خلاق پشت این بدافزار متخصصان کامپیوتر با مهارتی بالا هستند به طوری که از ساختار و طراحی پیشرفته روت کیت قابل استنتاج است. ما بر این باوریم که تیم پشتیبان Uroburos کارشان را روی انواع بسیار پیشرفته ای ادامه میدهند که هنوز باید کشف شوند.

Uroburos برای کار کردن به صورت همتا(peer-to-peer) طراحی شده بدین معنی که سیستمهای آلوده با هدایت مهاجمان از راه دور بین خودشان ارتباط برقرار میکنند. با هدایت یکی از سیستمهای آلوده که به شبکه اینترنت متصل باشد بدافزار قادر به آلوده کردن سیستمهای بیشتری در شبکه میباشد٬ حتی آنهایی که به شبکه اینترنت متصل نیستند. بدافزار می تواند از هر یک از سیستمهای آلوده جاسوسی نموده و اطلاعات جمع آوری شده را از طریق سیستمهای آلوده به سیستمی دارای اتصال اینترنتی است رسانده و به مهاجمان ارسال کند. این رفتار بدافزار نمونه ای از انتشار در شبکه شرکت های عظیم و سازمانهای عمومی است. مهاجمان پیش بینی می کنند که یقیناً کامپیوترهایی منفک از شبکه اینترنت در هدف حمله شان وجود دارند و از این تکنیک به عنوان نوعی راه حل برای دستیابی به اهدافشان استفاده می کنند.

Uroburos سیستم عامل Microsoft Windows 32 و ۶۴ بیتی را پشتیبانی میکند. بدلیل پیچیدگی این بدافزار و با ملاحظه پیچیدگی تکنیک های بکار برده شده در آن، گمان میرود که این روت کیت٬ دولتها، موسسات تحقیقاتی و یا شرکتهای بزرگ را مورد هدف قرار میدهد.

گمانه زنی ارتباط حمله روسها با حمله انجام شده بر ضد ایالات متحده!

به دلیل جزئیات تکنیکی زیاد ( نام فایل، کلیدهای رمزگذاری، رفتار و جزئیاتی که در این گزارش ذکر شده است) احتمال می دهیم که گروه پشت سر Uroburos همان گروهی است که حمله ای سایبری بر ضد ایالات متحده آمریکا در ۲۰۰۸ با یک بدافزار بنام Agent.BTZ. انجام داد. Uroburos حضور Agent.BTZ. کنترل کرده و در صورت نصب آن در سیستم، غیر فعال باقی می ماند. ظاهراً پدیدآورندگان Uroburos به زبان روسی صحبت می کنند که این مویّد ارتباط اش با Agent.BTZ. است. افزون بر این، مطابق مقالات یک روزنامه عمومی، این واقعیت( استفاده از زبان روسی )، شامل پدیدآوردگان Agent.BTZ.نیز می شود.

مطابق کلیه شواهدی که ما از تحقیق و تحلیل های بدافزار بدست آوردیم به این حقیقت اطمینان داریم که حملاتی که توسط Uroburos انجام می شود افراد نامعلوم مورد هدف قرار نمی گیرند بلکه بنگاه های اقتصادی بسیار برجسته، حکومت ها، سازمان های جاسوسی و اهداف مشابه هدف گیری می شوند.

Uroburos احتمالاً حداقل به مدت سه سال پنهان مانده است!

روت کیت Uroburos یکی از پیشرفته ترین روت کیت ها است که ما تا بحال در این زمینه تحلیل کرده ایم. قدیمی ترین راه اندازی که ما شناسائی کردیم در سال ۲۰۱۱ جمع آوری شد این بدان معنی است که این حمله حداقل به مدت سه سال پنهان باقی مانده است.

حامل آلودگی هنوز ناشناخته است!

این که چگونه Uroburos ابتدا توانست به شبکه های بسیار برجسته نفوذ کند در این مرحله از تحقیقات ناشناخته است. حامل هایِ آلودگیِ زیادی همچون spear phishing، drive-by-infections، حافظه فلش USB یا حملات مهندسی اجتماعی امکان پذیر قابل تصور هستند.

لینک دانلود تحلیل فنی بد افزار یورویوس:

https://www.gdata.de/rdk/dl-en-rp-Uroburos

اخبار جدید درباره یوروبروس:

https://blog.gdatasoftware.com/blog/article/uroburos-deeper-travel-into-kernel-protection-mitigation.html

نوشته های مرتبط
یک پاسخ بنویسید

نشانی ایمیل شما منتشر نخواهد شد.فیلد های مورد نیاز علامت گذاری شده اند *

2 × چهار =