G Data, spécialiste allemand en sécurité, a découvert un malware relativement complexe baptisé Uroboros. Ce nom rappellera sans doute le symbole égyptien représentant un dragon ou un serpent qui essaye de se mordre la queue trouvé dans son code. Il est dû à une chaîne de caractère "Ur0bUr()sGotyOu#" qui apparaît dans plusieurs fichiers, comme une signature. De plus les chercheurs ont identifié d'autres références au serpent/dragon mythologique dans le code du rootkit comme "inj_snake_Win32.dll", "inj_snake_Win64.dll", "snake_alloc" ou "snake_free".
«Uroburos est un rootkit de pointe qui contamine les réseaux depuis au moins 2011 et dérobe discrètement des données après avoir installé un réseau P2P malveillant au sein d'objectifs de haut niveau» expliquent les chercheurs. Il comporte en tout et pour tout deux fichiers. Le premier est un pilote permettant son fonctionnement sur tout terminal disposant d’un système d’exploitation de Microsoft en 32 ou 64 bits, et l’autre est un fichier système chiffré.
G Data répertorie le code du malware comme étant « hautement dangereux » car il possède une structure modulaire qui lui permet d’être adapté à distance par les hackers en fonction de leurs besoins. Le rootkit peut donc subir des mutations pour effectuer des actions particulières et adaptées à ses cibles.
Il adopte cependant un comportement étrange : avant de s’exécuter, il recherche la présence d’un autre malware, Agent.BTZ. Si celui-ci est détecté sur la même machine, alors Uroburos reste inactif. Pour rappel, Agent.BTZ, un programme malveillant antérieur, utilisé notamment en 2008 lors d’une attaque informatique contre le Pentagone, est fortement soupçonné d’avoir été mis au point par la Russie. Autre indice et pas des moindre : Uroburos et Agent.BTZ utilisent tous les deux comme langue le Russe (RT_VERSION ru_RU). De plus, les chercheurs estiment que le fonctionnement d’Uroburos montre que le particulier n’est pas la cible de l’attaque.
«C’est un virus très complexe, ce qui implique un développement sophistiqué et coûteux. Ses auteurs ne sont pas des cybercriminels mais des services secrets.» explique Jérôme Granger de G Data.
À l’heure actuelle, les moyens utilisés par les attaquants pour infecter leurs cibles avec Uroburos ne sont pas définis. De nombreuses méthodes restent possibles, telles que l’hameçonnage, l’infection dite « Drive-by-download » ou encore l’attaque par ingénierie sociale. G Data n’a pas voulu fournir d’indication sur l’ampleur de la propagation d’Uroboros ni sur le nom des entreprises infectées.
Source : Rapport G Data (au format PDF)
Et vous ?
Qu'en pensez-vous ?
Uroboros : un rootkit développé par les services secrets russes ?
Le malware serait en activité depuis 2011
Uroboros : un rootkit développé par les services secrets russes ?
Le malware serait en activité depuis 2011
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !