محققین به تازگی دریافتند که احتمالاً زمان آغاز فعالیت بدافزار روسی Snakeیا Uroburos، که در سال 2011 توسط شرکت امنیتی آلمانی GDATA معرفی گردید، به سال 2006 برمی گردد. شرکت امنیتی G-DATA هفته پیش مقاله ای را منتشر کرد که در آن در مورد بدافزار Uroburos توضیحاتی داده است[1]. بدافزار Uroburos یک rootkit است که متشکل از دو فایل است که قادر می باشد ماشین های آلوده را کنترل کند، دستورات دلخواه را اجرا نموده، فعالیت های سیستم را مخفی کند، و در تهایت اطلاعات را سرقت و ترافیک شبکه را ضبط نماید.
نام این بدافزار از کلمه یونانی (Οὐροβόρος) که یک نماد باستانی یونانی از یک مار یا اژدهایی است که دم خود را می بلعد، آمده است. در یکی از رشته های متن بدافزار، عبارت Ur0bUr()sGotyOu# مشاهده می شود.
محققین آلمانی معتقدند که یک سازمان روسی پشت این بدافزار پیشرفته است.
جزییات فنی نشان می دهد که گروه پشت بدافزار Uroburos همان گروهی است که
در سال 2008 تعدادی حمله هدفمند سایبری با نام Agent.BTZ بر علیه آمریکا
داشته اند. بررسی ها نشان می دهد که یک گروه فنی پیچیده و به خوبی سازمان
دهی شده در حال توسعه و استفاده از این ابزارها در هشت سال گذشته بوده است.
شواهدی وجود دارد که این ابزارها را به حملات قبلی روس ها مرتبط می کند
ولی دقیقاً نمی توان گفت که چه کسی پشت این حملات هدفمند است. این شرکت
امنیتی معتقد است در جایگاهی نیست که بتواند قربانیان خاص این بدافزار را
فاش کند ولی تحلیل نمونه های بدافزار، قربانیانی را در اروپای شرقی کشف
کرده است. اما در کل، مهاجمین گروه های مختلفی در جهان را برای بدست آوردن
اطلاعات حساس مورد هدف قرار داده اند[2].
محققین این مسئله که شبکه ها چگونه مورد هدف این بدافزار قرار گرفته اند را بیان نکرده اند ولی می توان گفت که بدافزارهای مشابه در گذشته از طریق حملات فیشینگ، حملات drive-by و حتی حافظه های USB منتقل شده اند.
واقعیت این است که طیف وسیعی از تکنیک ها برای حمله گروه های مهاجم وجود دارد تا در نهایت به سازمان ها نفوذ کنند و با روش هایی دسترسی لازم را بدست آورند. بنابراین سازمان ها نیاز به ابزارهای مختلف برای دفاع از خود را دارند.
اجزای تشکیل دهنده بدافزار:
• یک درایور (فایل .sys)
• یک سیستم فایل مجازی(.dat)
نام های مختلفی برای driver مشاهده شده است : Ultra3.sys, msw32.sys, vstor32.sys که نسخه های مختلفی یرای سیستم های 32 بیتی و 64 بیتی دارد. ولی سیستم فایل مجازی با نام های تصادفی و پسوند .dat می باشد. در ضمن در startup سیستم، سرویس زیر قرار می گیرد:
• HKLM\System\CurrentControlSet\Services\Ultra3
اطلاعات دیگر[3]:
SHA256: BF1CFC65B78F5222D35DC3BD2F0A87C9798BCE5A48348649DD271CE395656341
MD5: 320F4E6EE421C1616BD058E73CFEA282
Filesize: 210944
منابع:
1- https://public.gdatasoftware.com/Web/Content/INT/Blog/2014/02_2014/documents/GData_Uroburos_RedPaper_EN_v1.pdf
2- http://www.scmagazine.com/experts-analyze-snake-uroburos-malware-samples-dating-back-to-2006/article/337403/
3- https://www.virustotal.com/en/file/bf1cfc65b78f5222d35dc3bd2f0a87c9798bce5a48348649dd271ce395656341/analysis/
