lunedì 3 marzo 2014

G Data scopre rootkit Uroburos, un nuovo software spia dalla Russia


Funzionari di intelligence occidentali ritengono che il malware, noto come Turla, è collegato allo stesso software utilizzato per lanciare una grande violazione contro l'esercito americano scoperta 6 anni fa. Gli esperti di sicurezza di G DATA hanno scoperto e analizzato una minaccia altamente sofisticata e complessa, il cui obiettivo è quello di rubare informazioni estremamente sensibili e segrete da reti ad alto potenziale, come agenzie governative, agenzie di intelligence o di rilevanti dimensioni. Il rootkit denominato "Uroburos" opera autonomamente e si diffonde ad altri computer di reti infetti. Anche i computer che non dipendono direttamente da Internet vengono attaccati da questo parassita.

Tale software può essere realizzato solo con grandi investimenti in personale e infrastrutture secondo le stime di G Data. Il design e l'alto grado di complessità del parassita lasciano quindi presumere che sia stato sviluppato da servizi segreti. A causa di dettagli tecnici, come nomi dei file, crittografia, comportamento di software dannoso, si sospetta che Uroburos possa avere origine dalla stessa fonte che aveva già effettuato nel 2008 un attacco informatico contro gli Stati Uniti. A quel tempo, è stato utilizzato un software maligno chiamato "Agent.BTZ". 

Secondo il produttore tedesco di sicurezza IT, il programma spia è rimasto silente per oltre tre anni. Gli esperti dei G Data Security Labs hanno pubblicato nel blog di G Data Security (http://bit.ly/1jLA0la) maggiori dettagli e un documento di analisi completo. Uroburos è un rootkit che si compone di due file, un driver e un file system virtuale criptato. Con l'aiuto di questo malware, l'utente malintenzionato può ottenere il controllo del PC infetto, eseguire codice arbitrario sul computer mentre nasconde le sue attività sul sistema. 

Uroburos è anche in grado di rubare dati o registrare il traffico di rete. Grazie alla sua struttura modulare, l'attaccante può potenziare il software dannoso con funzioni addizionali. A causa di questa flessibilità e modularità, G Data classifica il rootkit come molto avanzato e pericoloso. La complessità e la progettazione di Uroburos prova un costoso e molto complesso sviluppo del programma maligno, dimostrando il coinvolgimento di programmatori molto esperti e capaci, secondo le stime degli sviluppatori di G Data.

Funzione Hook chiama e chiede, a sua volta , la funzione legittima - credit www.gdata.de

Un rootkit cerca naturalmente di nascondere le sue attività all'utente e così fa Uroburos. Il driver utilizza patch inline per eseguire i ganci, che è un modo comune per eseguire questa operazione. Inline patch viene effettuata modificando l'inizio della funzione di un sistema mirato al fine di reindirizzare il flusso di esecuzione di un codice personalizzato prima di saltare di nuovo alla funzione originale. Nel caso attuale, la inline patch aggiunge una nuova istruzione di interrupt (int 0xc3) all'inizio della funzione agganciata. In questo modo, il malware aggiunge comportamenti dannosi alle funzioni legittime.

Il produttore tedesco di sicurezza IT tedesco ritiene, pertanto, che i cyber criminali non sono stati coinvolti nello sviluppo e crede che dietro Uroburos vi sia una intelligence. Gli esperti ritengono che è probabile che i programmatori abbiano sviluppato un rootkit ancora più avanzato che non è stato ancora scoperto. Uroburos è stato progettato per agire in grandi network di aziende, enti, organizzazioni e istituzioni di ricerca: il programma maligno si diffonde costantemente e opera in modalità "peer-to-peer", dove i computer infetti in un rete chiusa comunicano direttamente l'uno con l'altro.  

Gli autori hanno bisogno che vi sia anche un singolo computer con accesso a Internet. Il modello mostra che gli aggressori tengono conto del fatto che le reti dei PC coinvolti spesso non sono collegati a Internet. I computer infetti spiano documenti o altri dati e li trasmettono al PC dotato di connessione Internet, dove tutte le informazioni vengono raccolte per poi essre trasferite sul PC di chi ha condotto l'attacco. Uroburos supporta sistemi Microsoft Windows a 32 e a 64 bit.

Esempio di raccolta informazioni - credit www.gdata.de

A causa di dettagli tecnici, nomi dei file, crittazione e software behaviour, gli esperti di G Data vedono un collegamento tra Uroburos  e il cyber attacco che ha avuto luogo negli Stati Uniti nel 2008, probabilmente messo in atto dalla stessa mente.  In quell'occasione fu utilizzato il malware chiamato "Agent.BTZ". Uroburos controlla i sistemi infetti per vedere se il malware è già installato, in questo caso, il rootkit non viene attivato. G Data ha anche trovato indicazioni secondo cui gli sviluppatori di entrambi i programmi maligni parlano russo.

L'analisi dimostra che l'obiettivo dell'attaccante non sono semplici utenti di Internet. Lo sforzo richiesto è giustificato soltanto da obbiettivi molto più importanti, così grandi aziende, agenzie governative, agenzie di intelligence, organizzazioni o obiettivi simili. Uroburos è il malware più avanzato tra i software dannosi che siano mai stati analizzati dagli esperti di sicurezza G Data in questo ambiente. Il driver più antico che è stato trovato nelle analisi, è stato compilato nel 2011. Ciò suggerisce che la campagna da allora è rimasta inosservata.

Allo stato attuale non è possibile determinare come Uroburos si sia inizialmente infiltrato in una rete di alto profilo. Nel 2008, il Dipartimento della Difesa degli Stati Uniti subì una compromissione significativa delle sua rete informatica militari. Ebbe inizio quando un flash drive infetto fu inserito in un computer portatile militare degli Stati Uniti in una base in Medio Oriente. Il codice informatico dannoso del flash drive, fu introdotto da un'agenzia di spionaggio straniera e fu caricato su una rete gestita dalla US Central Command.

L'operazione "Buckshot Yankee" del Pentagono, segnò una svolta nella strategia di cyberdefense degli Stati Uniti. Gli attacchi di Uroburos possono avvenire su una varietà di modi, ad esempio tramite spear-phishing, infezioni di tipo drive-by o attacchi di social engineering. Il malware è stato battezzato da G Data secondo il nome del codice sorgente corrispondente >>Uroburos<< , modellato su un antico simbolo greco di un serpente o un drago che si mangia la coda. Esperti in attacchi informatici sostengono che gli hacker sono altamente disciplinati, abili nel nascondere le loro tracce. Una dettagliata analisi tecnica è disponibile qui: https://www.gdata.de/rdk/dl-en-rp-Uroburos



Nessun commento:

Posta un commento