Expertos de G Data descubiereron un spyware altamente sofisticado
y complejo, diseñado para robar información secreta y altamente sensible de
instituciones públicas, servicios de inteligencia grandes corporaciones. Se sospechosa que el malware pudo ser creado en el laboratorio de algún
servicio secreto
¿Qué es Uroburos?
Uroburos es un rootkit formado por dos archivos, un driver y un
archivo de sistema cifrado. El malware puede usarse para tomar el control del
PC infectado, ejecutar cualquier código arbitrario y ocultar sus acciones en el
sistema. Uroburos es también capaz de robar datos y grabar el tráfico de datos
de la red. Su estructura modular permite a los atacantes completar el malware
con funciones adicionales. Y es precisamente su modularidad y flexibilidad lo
que detalla lo avanzado y peligroso de este malware.
Su complejidad técnica apunta a los servicios
secretos
Uroburos está diseñado para trabajar en redes de grandes empresas,
insti-tuciones públicas y organizaciones dedicadas a la investigación. El
patrón muestra que los atacantes han tenido en cuenta la circunstancia de que
en las redes conviven ordenadores no conectados. El malware se propaga de forma
autónoma y funciona en modo “peer to peer” donde los ordenadores infectados en
una red cerrada se comunican directamente entre sí y donde los atacantes sólo
necesitan un PC con acceso a Internet. Los ordenadores infectados recolectan
los datos y los transfieren al ordenador con conexión, donde se recopilan las
informaciones y se transfieren a los atacantes. Uroburos soporta los sistemas
de Microsoft Windows de 32 y 64 bits.
El diseño de Uroburos atestigua que el malware es muy complejo y
costoso de desarrollar y los expertos de G Data deducen que han tenido que
estar implicados en su creación desarrolladores altamente cualificados, como
algún servicio secreto.
Un malware con conexión rusa
De acuerdo a los detalles técnicos, el cifrado y el comportamiento
del malware, los expertos de G Data observan una conexión ente Uroburos y un
ciberataque llevado a cabo contra Estados Unidos en 2008 mediante un malware
conocido como “Agent.BTZ”. Uroburos comprueba los sistemas infectados para ver
si dicho malware está ya instalado, en cuyo caso el rootkit permanece inactivo.
De igual forma, parece claro que los desarrolladores de estos dos programas son
ruso parlantes.
Al menos tres años funcionando
El rootkit Uroburos es el malware más avanzado que los expertos de
G Data han analizado en su laboratorio y su driver más antiguo fue compilado en
2011, lo que indica que permanece activo desde entonces.
Vector de infección, indeterminado
Hasta ahora, no ha sido posible determinar cómo se infiltra
Uroburos en una red y el ataque puede darse con éxito de varias formas, entre
ellas, spear phising (phising dirigido a objetivos específicos), infecciones
drive-by o ingeniería social.
Más información
Blog de G Data
http://blog.gdatasoftware.com/blog/article/uroburos-highly-complex-espionage-software-with-russian-roots.html
http://blog.gdatasoftware.com/blog/article/uroburos-highly-complex-espionage-software-with-russian-roots.html
Fuente: GDATA