Đây có phải là Stuxnet của Nga? Hãng an ninh bắt được Rootkit đáng ngờ 'Uroburos'

Is This Russia's Stuxnet? Security Firm Spots Suspicious 'Uroburos' Rootkit

'Uroburos' là một rootkit tiên tiến đã và đang gây lây nhiễm các mạng kể từ năm 2011, âm thầm ăn cắp các dữ liệu sau khi thiết lập các mạng P2P giả mạo bên trong các mục tiêu mức cao của nó.

'Uroburos' is an advanced rootkit that has been infecting networks since as far back as 2011, quietly stealing data after setting up rogue P2P networks within its high-level targets.

By John E Dunn, Mon, March 03, 2014

Theo: http://www.cio.com/article/749023/Is_This_Russia_s_Stuxnet_Security_Firm_Spots_Suspicious_Uroburos_Rootkit

Bài được đưa lên Internet ngày: 03/03/2014

Lời người dịch: Các trích đoạn: “Techworld — 'Uroburos' là một rootkit tiên tiến đã và đang gây lây nhiễm cho các mạng kể từ năm 2011, âm thầm ăn cắp dữ liệu sau khi thiết lập các mạng P2P giả mạo bên trong các mục tiêu mức cao của nó”. Còn hãng an ninh Đức G Data thì cho rằng: “Theo tất cả các chỉ số mà chúng tôi thu thập được từ các phân tích và nghiên cứu phần mềm độc hại đó, chúng tôi chắc chắn về thực tế các cuộc tấn công được triển khai với Uroburos đang không nhằm vào John Doe mà vào các doanh nghiệp, nhà nước quốc gia, các cơ quan tình báo và các mục tiêu tương tự có tiểu sử cao cấp”.

Techworld — 'Uroburos' là một rootkit tiên tiến đã và đang gây lây nhiễm cho các mạng kể từ năm 2011, âm thầm ăn cắp dữ liệu sau khi thiết lập các mạng P2P giả mạo bên trong các mục tiêu mức cao của nó.

Module của nó, thể hiện sự phức tạp không bình thường và kín đáo đáng ngờ. Hầu hết chắc chắn được lập trình ở Nga (từ các tham chiếu cho tới mã), nó kiểm tra các mục tiêu cho sự hiện diện của đầu USB yêu thích Agent.btz ('Buckshot Yankee'), một sâu hầu như cho đi mà đã thành công đằng sau các bức tường lửa của quân đội Mỹ vào năm 2008. Nếu nó tìm được, nó không kích hoạt.

Theo hãng an ninh Đức G Data, hãng đã nghiên cứu phần mềm độc hại mới, cái sau là một chút của một thứ bỏ đi vì Agent.btz cũng từng hầu như chắc chắn có xuất xứ Nga.

Có lẽ nó không hoàn toàn là Stuxnet Liên Xô, mà có thể Uroburos là ví dụ được khẳng định đầu tiên về một chương trình vũ khí không gian mạng của chính phủ Nga được thiết lập tốt chăng? Một mẩu phần mềm độc hại đáng ngờ là thú vị, 2 thì hết sức kỳ lạ.

“Hành vi của phần mềm độc hại này là điển hình cho sự nhân giống trong các mạng của các hãng hoặc các nhà chức trách nhà nước khổng lồ. Những kẻ tấn công kỳ vọng rằng mục tiêu của họ có các máy tính được cắt khỏi Internet và sử dụng kỹ thuật này như một dạng khắc phục để đạt được mục tiêu của họ”, G Data nói trong một câu hỏi khó trước khi nó tiết lộ một phân tích chi tiết hơn. Tất cả chúng ta nghe nhé.

“Theo tất cả các chỉ số mà chúng tôi thu thập được từ các phân tích và nghiên cứu phần mềm độc hại đó, chúng tôi chắc chắn về thực tế các cuộc tấn công được triển khai với Uroburos đang không nhằm vào John Doe mà vào các doanh nghiệp, nhà nước quốc gia, các cơ quan tình báo và các mục tiêu tương tự có tiểu sử cao cấp”.

Ngược về năm 2011 theo ngày tháng được biên dịch, chế độ gây lây nhiễm của nó vẫn là một bí ẩn mà đưa đón bạn.

Để cho hồ sơ, cái tên Uroburos (hoặc Ouroboros) tới từ một chuỗi được thấy trong phần mềm độc hại, và tham chiếu tới một biểu tưởng Ai cập cổ đại về một con rắn đang ăn đuôi của mình. Đối với các chuyên gia chiến tranh không gian mạng, không bao giờ là một thời điểm ngu ngơ cả.

Techworld — 'Uroburos' is an advanced rootkit that has been infecting networks since as far back as 2011, quietly stealing data after setting up rogue P2P networks within its high-level targets.

It's modular, displays unusual complexity and is suspiciously discreet. Almost certainly programmed in Russia (from references in the code), it checks targets for the presence of the USB stick-loving Agent.btz ('Buckshot Yankee'), a mostly-forgotten worm that successfully got behind US military firewalls in 2008. If it finds it, it does not activate.

According to German security firm G Data, which has researched the new malware, the latter is a bit of a giveaway because Agent.btz was also almost certainly of Russian origin.

It's not quite the Soviet Stuxnet perhaps, but might Uroburos be the first confirmed example of a well-established Russian government cyber-weapons programme? One piece of suspicious malware is interesting, two downright odd.

"This malware behaviour is typical for propagation in networks of huge companies or public authorities. The attackers expect that their target does have computers cut off from the Internet and uses this technique as a kind of workaround to achieve their goal," said G Data in a teaser before it reveals a more detailed analysis. We're all ears.

"According to all indications we gathered from the malware analyses and the research, we are sure of the fact that attacks carried out with Uroburos are not targeting John Doe but high profile enterprises, nation states, intelligence agencies and similar targets."

Dating back to 2011 according to compile dates, its mode of infection remains a mystery but take your pick.

For the record, the name Uroburos (or Ouroboros) comes from a string found in the malware, and references an ancient Egyptian symbol of a serpent eating its own tail. For cyberwar experts, never a dull moment.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com