Les logiciels espions russes recherchent des données militaires
Les experts allemands de G Data ont découvert un virus très avancé, vraisemblablement d'origine russe, qui vise à voler des données confidentielles sur les ordinateurs des organisations gouvernementales américaines. L'attaque semble être la continuation de l'intrusion d'il y a six ans - il a fallu 14 mois au Pentagone pour nettoyer son réseau.
En 2008, l'une des plus grandes cyberattaques contre les États-Unis a été révélée. L'action a commencé avec quelqu'un qui a « laissé » une clé USB dans un parking du ministère de la Défense. Le média contenait le logiciel malveillant Agent.btz, qui a infecté le réseau militaire américain et a pu ouvrir des portes dérobées sur les machines attaquées, puis diffuser des données à travers elles.
Les experts d'AG Data ont découvert un nouveau virus encore plus avancé et affirment que le malware est peut-être actif depuis trois ans. Le code du logiciel espion comprend le nom Uroburos, qui vient d'un ancien symbole grec et représente un dragon se mordant la queue, faisant référence à l'autoréflexion, à la complexité. Cependant, le nom apparaît dans la série de films et de jeux vidéo Resident Evil, le nom d'un virus que ses créateurs veulent utiliser pour changer l'équilibre des pouvoirs dans le monde.
Le code du programme extrêmement complexe, l'utilisation de la langue russe et le fait qu'Uroburos ne soit pas activé sur les ordinateurs qui ont encore Agent.btz suggèrent tous qu'il s'agit d'une action bien organisée visant à supprimer les réseaux militaires d'obtention d'informations. Le virus a le potentiel de divulguer des données à partir d'ordinateurs qui ne sont pas directement connectés à Internet. Pour ce faire, il construit ses propres canaux de communication dans les réseaux et transmet ensuite les données des machines qui n'ont pas de connexion en ligne à celles qui se connectent au World Wide Web. Ce qui rend cela d'autant plus que dans un grand réseau, il est extrêmement difficile de détecter quel ordinateur en ligne est celui qui vole les données d'un poste de travail non connecté au World Wide Web et les transmet ensuite aux créateurs de logiciels malveillants.
En termes d'architecture informatique, Uroburos est un rootkit, qui est créé à partir de deux fichiers, un pilote et un système de fichiers virtuel. Un rootkit peut prendre le contrôle d'un ordinateur infecté, exécuter des commandes et masquer des processus système. Grâce à sa conception modulaire, il peut être mis à jour à tout moment avec de nouvelles fonctionnalités, ce qui le rend extrêmement dangereux. Le style de programmation du fichier pilote est complexe et discret, ce qui le rend difficile à identifier. Les experts d'AG Data soulignent que la création d'un tel malware nécessite une équipe de développement et des connaissances sérieuses, ce qui rend également probable qu'il s'agisse d'une attaque ciblée. Le fait que le pilote et le système de fichiers virtuels soient séparés en code malveillant signifie également que seuls les deux ont le framework rootkit à analyser, ce qui rend extrêmement difficile la détection d'Uroburos. Pour plus d'informations sur le fonctionnement technique du ravageur un Site antivirus G Data en Hongrie lisible.
