Найден руткит Uroburos, созданный скорее всего российскими спецслужбами

Эксперты агентства G Data (Германия) вскрыли новую зловредную программу, ворующую конфиденциальные данные. Как считают в G Data, к созданию этого зловреда имеют прямое отношение российские спецслужбы.

Данный руткит обозвали Uroburos (по имени одного из мифических драконов) и имеющейся последовательности символов кода этого вредоноса (Ur0bUr()sGotyOu#).

Руктит ворует с зараженных ПК файлы и попутно перехватывает онлайновый трафик.

Основной целью его, по заявлению специалистов G Data, являются крупнейшие производства, и госорганы со спецслужбами. Предположительно, руткит работает уже три года, поскольку первые его версии созданы в 2011 г.

В целях установки взаимосвязи между инфицированными устройствами Uroburos может работать в P2P-режиме, что позволяет ему получить удаленный доступ всего к одному компьютерному устройству, имеющему онлайн-подключение, чтобы управлять прочими, имеющимися в локальной сети компьютерами, и осуществлять дальнейшее продвижение материалов своей активности.

Чтобы скрыть свое присутствие руктитом используются две файловые виртуальные системы FAT и NTFS, которые локально установлены на инфицированных машинах. Данные файловые системы дают возможность хакерам сохранять на зараженном ПК инструментарий сторонних производителей, временные файлы, средства пост-эксплуатации, а также выходные двоичные данные.

В G Data специально отметили, что для создания структуры, подобной Uroburos, требуются немалые инвестиции. Кроме того, команда разработчиков данного зловреда по всей видимости сформирована из высококлассных IT-специалистов, что следует из анализа структуры и дизайна руткита.

Анализ позволил также предположить, что создателями Uroburos может быть хакерская группа, в 2008 г. проведшая атаку на некоторые североамериканские компьютерные системы с использованием троянца Agent.BTZ. Более того, перед «пропиской» в ПК Uroburos проверяет систему на присутствие там Agent.BTZ и в случае его присутствия новый зловред остается неактивным. Ну а предположение, что за Uroburos стоят русские, возникло после обнаружения в его коде кириллицы.