Russische spyware jaagt op militaire gegevens
Experts van het Duitse G Data hebben een zeer geavanceerd virus ontdekt, vermoedelijk van Russische oorsprong, dat is ontworpen om vertrouwelijke gegevens te stelen van computers in Amerikaanse overheidsorganisaties. De aanval lijkt een voortzetting te zijn van de inbraak zes jaar geleden - het kostte het Pentagon 14 maanden om zijn netwerk te ontruimen.
In 2008 kwam een van de grootste cyberaanvallen op de Verenigde Staten aan het licht. De actie begon met iemand die een USB-stick 'verliet' op een parkeerplaats van het ministerie van Defensie. De media bevatten de malware Agent.btz, die het Amerikaanse militaire netwerk infecteerde en achterdeuren op de aangevallen machines kon openen en er vervolgens gegevens doorheen kon lekken.
Experts van AG Data hebben nu een nieuw, nog geavanceerder virus gevonden en zeggen dat de malware mogelijk al drie jaar actief is. De code van de spyware bevat de naam Uroburos, die afkomstig is van een oud Grieks symbool en een draak voorstelt die in zijn eigen staart bijt, verwijzend naar zelfreflectie, complexiteit. De naam komt echter voor in de Resident Evil-film- en videogameserie, de naam van een virus dat de makers ervan willen gebruiken om de machtsverhoudingen in de wereld te veranderen.
De uiterst complexe programmacode, het gebruik van de Russische taal en het feit dat Uroburos niet geactiveerd is op computers die nog Agent.btz hebben, suggereren allemaal dat het een goed georganiseerde actie is die gericht is op het verwijderen van militaire netwerken. Het virus kan gegevens lekken van computers die niet rechtstreeks met internet zijn verbonden. Om dit te doen, bouwt het zijn eigen communicatiekanalen in de netwerken en verzendt vervolgens de gegevens van machines die geen online verbinding hebben naar die die zijn verbonden met het World Wide Web. Wat dit des te meer maakt, is dat het in een groot netwerk buitengewoon moeilijk is om erachter te komen welke online computer gegevens steelt van een werkstation dat niet is verbonden met het World Wide Web en deze vervolgens doorstuurt naar de makers van de malware.
Qua IT-architectuur is Uroburos een zogenaamde rootkit, die is gemaakt van twee bestanden, een stuurprogramma en een virtueel bestandssysteem. Een rootkit kan de controle over een geïnfecteerde computer overnemen, opdrachten uitvoeren en systeemprocessen verbergen. Dankzij het modulaire ontwerp kan het op elk moment worden bijgewerkt met nieuwe functies, wat het extreem gevaarlijk maakt. De programmeerstijl van het stuurprogrammabestand is complex en discreet, waardoor het moeilijk te identificeren is. Experts van AG Data benadrukken dat het maken van dergelijke malware een serieus ontwikkelteam en kennis vereist, waardoor het ook waarschijnlijk is dat het een gerichte aanval is. Het feit dat het stuurprogramma en het virtuele bestandssysteem zijn gescheiden in kwaadaardige code, betekent ook dat alleen beide het rootkit-framework hebben om te analyseren, wat het extreem moeilijk maakt om Uroburos te detecteren. Voor meer informatie over de technische werking van het ongedierte a G Data antivirus-website in Hongarije leesbaar.
