keskiviikko 5. maaliskuuta 2014

Uroburos-haittaohjelmaa todennäköisesti käytetty kohdistetuissa haittaohjelmahyökkäyksissä

[Kyberturvallisuuskeskus] Saksalainen tietoturvayhtiö G Data on julkaissut raportin havaitsemastaan tietoja varastavasta haittaohjelmasta nimeltä Uroburos. Kuten on tapana, nimi perustuu haittaohjelmasta löytyneeseen merkkijonoon.

Maailmalla on paljastunut jälleen uusi kohdistettuihin hyökkäyksiin käytetty haittaohjelma. Viimeisin julkaistu raportti on saksalaisen tietoturvayhtiö G Datan julkaisema tekninen selvitys havaitsemastaan tietoja varastavasta haittaohjelmasta nimeltä Uroburos. Kuten on tapana, nimi perustuu haittaohjelmasta löytyneeseen merkkijonoon. Kyseessä on teknisesti erittäin monimutkainen haittaohjelma. Haittaohjelman tekijöillä on nähtävästi ollut käytettävissään laajat ja korkealaajuiset resurssit. Tämän tason resurssit liitetään tyypillisesti valtiollisiin toimijoihin.

Esimerkkejä teknisistä ominaisuuksista ovat mm. haittaohjelman käyttämä salattu virtuaalinen tiedostojärjestelmä ja kyky muokata käyttöjärjestelmän funktioita suorituksen aikana. Lisäksi se kykenee suorittamaan mielivaltaisia tunkeutujan komentoja ja piiloutumaan etsijöiltä tehokkaasti. Uroburos-haittaohjelman modulaarinen rakenne mahdollistaa uusien ominaisuuksien lisäämisen ja toiminnan muokkaamisen pitkän ajan kuluessa saastumisen jälkeenkin. Haittaohjelma näyttää olevan suunniteltu toimimaan myös ympäristöissä, joista ei ole suoraa yhteyttä julkisiin tietoverkkoihin. Uroburoksen saastuttamat tietokoneet muodostavat keskenään vertaisverkon, jonka mikä tahansa solmu kykenee toimimaan välityspalvelimena ja kommunikoimaan komentopalvelimen kanssa. Toistaiseksi ei ole varmuutta siitä, miten Uroburos saastuttaa uhrinsa.

Haittaohjelmaa uskotaan käytettävän kohdistettuihin haittaohjelmahyökkäyksiin, eikä siitä ole ollut julkisia havaintoja aikaisemmin. Koska Uroburoksen kehittäminen on vaatinut huomattavia resursseja, haittaohjelman kohteena uskotaan olevan valtionhallintoja, tutkimuslaitoksia tai suuria yrityksiä.

Raportissaan saksalaiset tutkijat viittaavat Agent.BTZ-haittaohjelmaan, jonka on spekuloitu liittyvän venäläisiin toimijoihin. Tutkijat kuvaavat haittaohjelmien Uroburos ja Agent.BTZ yhtäläisyyksiä seuraavasti:

Molemmissa ohjelmakoodeissa käytetään samaa salausavainta.
Haittaohjelmien käyttämät lokitiedostot ovat samannimisiä.
Uroburos tarkistaa, onko kohde jo saastutettu Agent.BTZ-haittaohjelmalla. Mikäli näin on, Uroburos ei aktivoidu.
Molemmissa ohjelmissa käytetään venäjänkielisiä resursseja.

Ohjelmakoodista löydettyjen aikaleimojen perusteella haittaohjelman uskotaan olleen toiminnassa jo vuodesta 2011 lähtien.

Viestintäviraston Kyberturvallisuuskeskus on pyytänyt G Datalta lisätietoja asiaan liittyen.

Lisätietoa:

http://blog.gdatasoftware.com/blog/article/uroburos-highly-complex-espionage-software-with-russian-roots.html

(huom. Tämä on suora kopio Kyberturvallisuuskeskuksen tiedotteesta)

LÄHDE:  Kyberturvallisuuskeskus / Tietoturva nyt!