La Russia spia col software Uroburos

Attacco russo a installazioni militari, agenzie governative e grandi imprese. Come nel 2008 con il malware Agent.BTZ, un rootkit colpisce anche i computer non direttamente connessi a Internet.

Avatar di Gaetano Di Blasio

a cura di Gaetano Di Blasio

Ulteriore tensione con la Russia, dopo la scoperta di un software con cui i russi spiano installazioni militari, agenzie governative e grandi imprese. Lo rivelano gli esperti di sicurezza di G Data, secondo i quali il malware sarebbe all'opera da almeno tre anni.

Il software è un rootkit che in G Data hanno chiamato "Uroburos", sulla base di un nome corrispondente trovato nel codice sorgente. Uroburos sembra sia un antico simbolo greco raffigurante un serpente o un drago che si morde la coda.Uroburos lavora in modo autonomo e si diffonde da solo nelle reti infette. Perfino i computer che non sono direttamente connessi a Internet vengono attaccati da questo malware. I tecnici di G Data ritengono che sviluppare questo tipo di software richieda sostanziali investimenti sia in termini di personale sia d'infrastruttura. Il design e l'alto livello di complessità del malware lasciano presumere che sia stato sviluppato dai servizi segreti.

L'analisi, infatti, dimostra che chi sta conducendo questo attacco non prende di mira i normali utenti Internet. Gli sforzi profusi nello sviluppo di questo malware sono giustificati da obiettivi molto più importanti e istituzionali.

Attento: Putin ti ascolta

Alcuni dettagli tecnici (nomi di file, metodologia d'encryption, comportamento del software), lasciano sospettare che Uroburos possa provenire dalla stessa fonte che aveva già lanciato un cyber attacco contro gli Stati Uniti nel 2008. Inoltre, gli esperti di G Data hanno inoltre trovato indicazioni secondo le quali gli sviluppatori di entrambe i programmi malware parlano russo. Quantomeno ci si è ispirati al lavoro effettuato in quell'occasione, quando fu usato il malware chiamato "Agent.BTZ".

Una dettagliata analisi tecnica è disponibile sul sito di G Data. Più in sintesi, riportiamo l'analisi comunicata. Uroburos è un rootkit che consiste di due file: un "driver" e un "encrypted virtual file system". Questo malware può essere usato per prendere il controllo dei pc infetti, eseguire qualsiasi programma sul computer e nascondere le proprie azioni sul sistema.

2010: altri tempi quando le spie erano sexy

Uroburos è anche in grado di rubare dati e registrare il traffico di dati nella rete. La sua struttura modulare consente di potenziare il malware con funzioni addizionali. Proprio questa flessibilità e modularità, porta i tecnici G Data a credere che questo rootkit sia molto avanzato e pericoloso.

Uroburos è progettato per lavorare su grandi network di aziende, autorità pubbliche, organizzazioni e istituti di ricerca: il malware si diffonde automaticamente e lavora in modalità "peer-to-peer", dove i computer infetti in un network chiuso comunicano direttamente l'uno con l'altro.

Basta che vi sia anche solo un computer con accesso a Internet. I computer infetti spiano documenti o altri dati e li trasferiscono poi al pc dotato di connessione Internet dove tutti i dati vengono raccolti per poi essere trasferiti sul pc di chi ha condotto l'attacco. Uroburos supporta Microsoft Windows sia a 32 sia a 64 bit.

Si presume anche che questi programmatori abbiano sviluppato anche un rootkit ancora più avanzato che non è stato ancora scoperto. Anche perché è stato trovato un driver risalente al 2011, il che fa supporre che il malware agisca indisturbato da tre anni e forse più. Facile che ne esista anche una versione nuova. Resta, tra l'altro, sconosciuto il vettore dell'infezione: cioè non si sa come si sia infiltrato sui grandi network.