Uroboros : un rootkit développé par les services secrets russes ?
Le malware serait en activité depuis 2011

Le , par Stéphane le calme, Chroniqueur Actualités
G Data, spécialiste allemand en sécurité, a découvert un malware relativement complexe baptisé Uroboros. Ce nom rappellera sans doute le symbole égyptien représentant un dragon ou un serpent qui essaye de se mordre la queue trouvé dans son code. Il est dû à une chaîne de caractère "Ur0bUr()sGotyOu#" qui apparaît dans plusieurs fichiers, comme une signature. De plus les chercheurs ont identifié d'autres références au serpent/dragon mythologique dans le code du rootkit comme "inj_snake_Win32.dll", "inj_snake_Win64.dll", "snake_alloc" ou "snake_free".

«Uroburos est un rootkit de pointe qui contamine les réseaux depuis au moins 2011 et dérobe discrètement des données après avoir installé un réseau P2P malveillant au sein d'objectifs de haut niveau» expliquent les chercheurs. Il comporte en tout et pour tout deux fichiers. Le premier est un pilote permettant son fonctionnement sur tout terminal disposant d’un système d’exploitation de Microsoft en 32 ou 64 bits, et l’autre est un fichier système chiffré.

G Data répertorie le code du malware comme étant « hautement dangereux » car il possède une structure modulaire qui lui permet d’être adapté à distance par les hackers en fonction de leurs besoins. Le rootkit peut donc subir des mutations pour effectuer des actions particulières et adaptées à ses cibles.

Il adopte cependant un comportement étrange : avant de s’exécuter, il recherche la présence d’un autre malware, Agent.BTZ. Si celui-ci est détecté sur la même machine, alors Uroburos reste inactif. Pour rappel, Agent.BTZ, un programme malveillant antérieur, utilisé notamment en 2008 lors d’une attaque informatique contre le Pentagone, est fortement soupçonné d’avoir été mis au point par la Russie. Autre indice et pas des moindre : Uroburos et Agent.BTZ utilisent tous les deux comme langue le Russe (RT_VERSION ru_RU). De plus, les chercheurs estiment que le fonctionnement d’Uroburos montre que le particulier n’est pas la cible de l’attaque.

«C’est un virus très complexe, ce qui implique un développement sophistiqué et coûteux. Ses auteurs ne sont pas des cybercriminels mais des services secrets.» explique Jérôme Granger de G Data.

À l’heure actuelle, les moyens utilisés par les attaquants pour infecter leurs cibles avec Uroburos ne sont pas définis. De nombreuses méthodes restent possibles, telles que l’hameçonnage, l’infection dite « Drive-by-download » ou encore l’attaque par ingénierie sociale. G Data n’a pas voulu fournir d’indication sur l’ampleur de la propagation d’Uroboros ni sur le nom des entreprises infectées.

Source : Rapport G Data (au format PDF)

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de kiprok kiprok - Membre actif http://www.developpez.com
le 06/03/2014 à 11:48
2 questions de newbie :

Citation Envoyé par Stéphane le calme  Voir le message
Ce nom est dû au symbole égyptien représentant un dragon ou un serpent qui essaye de se mordre la queue trouvé dans son code.

On fait comment pour planquer un "symbole égyptien représentant un dragon ou un serpent qui essaye de se mordre la queue" dans le code?

Citation Envoyé par Stéphane le calme  Voir le message
Agent.BTZ et Uroburos utilisent tous les deux … le russe dans les commentaires de codage. De

Des commentaires qui se trouvent dans un binaire apres compilation? Je ne sais pas trop comment cela se fait (compilation avec trace?)...
Pour une agence de l'ombre ça fait pas tres pro non?
Avatar de Aiekick Aiekick - Membre éprouvé http://www.developpez.com
le 06/03/2014 à 11:58
ou justement un bon moyen d'incriminer les russes en faisant style oups on à laissé des commentaires. et s'il y a commentaire je doute que ce soit un binaire.
Avatar de benjani13 benjani13 - Membre expérimenté http://www.developpez.com
le 06/03/2014 à 13:03
Citation Envoyé par kiprok  Voir le message
Des commentaires qui se trouvent dans un binaire apres compilation? Je ne sais pas trop comment cela se fait (compilation avec trace?)...
Pour une agence de l'ombre ça fait pas tres pro non?

Je me demandais la même chose.

Ou alors ils ont récupéré du code qui trainait sur un serveur de C&C?
Avatar de TiranusKBX TiranusKBX - Membre expert http://www.developpez.com
le 06/03/2014 à 13:51
Oui l'histoire des commentaires dans les binaire c'est zarb
à moins que ce soit fait avec un compilateur d'un langage qui les laissent dans un binaire,
personne ne compile pour avoir les commentaires dans les binaires
Avatar de DonQuiche DonQuiche - Expert confirmé http://www.developpez.com
le 06/03/2014 à 13:52
Je me suis posé les mêmes questions et j'ai donc été voir.
* Il n'y a pas de dessin dans le code. Il y a en revanche une chaîne de caractères "Ur0bUr()sGotyOu#" dans plusieurs fichiers qui semble avoir été mise là à dessein, comme une signature.
* Il n'y a pas de commentaire en russe. En revanche la page de code de la version des binaires (ressource rt_version) est ru-RU.
Avatar de kiprok kiprok - Membre actif http://www.developpez.com
le 06/03/2014 à 14:56
Merci pour les reponses DonQuiche.

Pour la signature je peux comprendre (pratique pour se faire passer pour un groupe de hackeurs "classique" en mal de notoriete) par contre l'embarquement de ressources russe ne me parait pas tres malin...
Avatar de sevyc64 sevyc64 - Modérateur http://www.developpez.com
le 06/03/2014 à 17:49
Citation Envoyé par kiprok  Voir le message
Merci pour les reponses DonQuiche.

Pour la signature je peux comprendre (pratique pour se faire passer pour un groupe de hackeurs "classique" en mal de notoriete) par contre l'embarquement de ressources russe ne me parait pas tres malin...

Il y a toujours l'embarquement d'au moins une page de ressource dans tous les binaires executable compatible windows (je ne connais pas les autres systèmes), Par défaut c'est la page de ressource qui correspond au système de compilation qui est embarquée. Il peut y en avoir automatiquement une autre si le edi/compilateur n'est pas de la même langue que le système, mais ça dépend des compilateurs.
Avatar de kiprok kiprok - Membre actif http://www.developpez.com
le 07/03/2014 à 9:35
Citation Envoyé par sevyc64  Voir le message
Il y a toujours l'embarquement d'au moins une page de ressource dans tous les binaires executable compatible windows (je ne connais pas les autres systèmes), Par défaut c'est la page de ressource qui correspond au système de compilation qui est embarquée. Il peut y en avoir automatiquement une autre si le edi/compilateur n'est pas de la même langue que le système, mais ça dépend des compilateurs.

J'entends bien mais de choisir un autre systeme de compilation (meme langue que la cible par exemple) aurait pu être plus malin non? Je trouve ça un peu curieux pour des pro qui souhaitent passer incognito car ça pointe facilement vers les Russes...

A moins que cela soit voulu et assumé pour montrer que les Russes aussi sont equipés en "cyber attaquant".
Offres d'emploi IT
Chef de projet SI confirmé (H/F)
Société Générale - Ile de France - Val-de-Fontenay
Scrum master H/F
Safran - Ile de France - Osny (95520)
Analyste SI-métier (poste également ouvert aux stagiaires, alternants et VIE du groupe)-(H/F)
Société Générale - Ile de France - Val-de-Marne

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil