Uroboros : un rootkit développé par les services secrets russes ?
Le malware serait en activité depuis 2011
Le 2014-03-06 10:44:39, par Stéphane le calme, Chroniqueur Actualités
G Data, spécialiste allemand en sécurité, a découvert un malware relativement complexe baptisé Uroboros. Ce nom rappellera sans doute le symbole égyptien représentant un dragon ou un serpent qui essaye de se mordre la queue trouvé dans son code. Il est dû à une chaîne de caractère "Ur0bUr()sGotyOu#" qui apparaît dans plusieurs fichiers, comme une signature. De plus les chercheurs ont identifié d'autres références au serpent/dragon mythologique dans le code du rootkit comme "inj_snake_Win32.dll", "inj_snake_Win64.dll", "snake_alloc" ou "snake_free".
«Uroburos est un rootkit de pointe qui contamine les réseaux depuis au moins 2011 et dérobe discrètement des données après avoir installé un réseau P2P malveillant au sein d'objectifs de haut niveau» expliquent les chercheurs. Il comporte en tout et pour tout deux fichiers. Le premier est un pilote permettant son fonctionnement sur tout terminal disposant d’un système d’exploitation de Microsoft en 32 ou 64 bits, et l’autre est un fichier système chiffré.
G Data répertorie le code du malware comme étant « hautement dangereux » car il possède une structure modulaire qui lui permet d’être adapté à distance par les hackers en fonction de leurs besoins. Le rootkit peut donc subir des mutations pour effectuer des actions particulières et adaptées à ses cibles.
Il adopte cependant un comportement étrange : avant de s’exécuter, il recherche la présence d’un autre malware, Agent.BTZ. Si celui-ci est détecté sur la même machine, alors Uroburos reste inactif. Pour rappel, Agent.BTZ, un programme malveillant antérieur, utilisé notamment en 2008 lors d’une attaque informatique contre le Pentagone, est fortement soupçonné d’avoir été mis au point par la Russie. Autre indice et pas des moindre : Uroburos et Agent.BTZ utilisent tous les deux comme langue le Russe (RT_VERSION ru_RU). De plus, les chercheurs estiment que le fonctionnement d’Uroburos montre que le particulier n’est pas la cible de l’attaque.
«C’est un virus très complexe, ce qui implique un développement sophistiqué et coûteux. Ses auteurs ne sont pas des cybercriminels mais des services secrets.» explique Jérôme Granger de G Data.
À l’heure actuelle, les moyens utilisés par les attaquants pour infecter leurs cibles avec Uroburos ne sont pas définis. De nombreuses méthodes restent possibles, telles que l’hameçonnage, l’infection dite « Drive-by-download » ou encore l’attaque par ingénierie sociale. G Data n’a pas voulu fournir d’indication sur l’ampleur de la propagation d’Uroboros ni sur le nom des entreprises infectées.
Source : Rapport G Data (au format PDF)
Et vous ?
«Uroburos est un rootkit de pointe qui contamine les réseaux depuis au moins 2011 et dérobe discrètement des données après avoir installé un réseau P2P malveillant au sein d'objectifs de haut niveau» expliquent les chercheurs. Il comporte en tout et pour tout deux fichiers. Le premier est un pilote permettant son fonctionnement sur tout terminal disposant d’un système d’exploitation de Microsoft en 32 ou 64 bits, et l’autre est un fichier système chiffré.
G Data répertorie le code du malware comme étant « hautement dangereux » car il possède une structure modulaire qui lui permet d’être adapté à distance par les hackers en fonction de leurs besoins. Le rootkit peut donc subir des mutations pour effectuer des actions particulières et adaptées à ses cibles.
Il adopte cependant un comportement étrange : avant de s’exécuter, il recherche la présence d’un autre malware, Agent.BTZ. Si celui-ci est détecté sur la même machine, alors Uroburos reste inactif. Pour rappel, Agent.BTZ, un programme malveillant antérieur, utilisé notamment en 2008 lors d’une attaque informatique contre le Pentagone, est fortement soupçonné d’avoir été mis au point par la Russie. Autre indice et pas des moindre : Uroburos et Agent.BTZ utilisent tous les deux comme langue le Russe (RT_VERSION ru_RU). De plus, les chercheurs estiment que le fonctionnement d’Uroburos montre que le particulier n’est pas la cible de l’attaque.
«C’est un virus très complexe, ce qui implique un développement sophistiqué et coûteux. Ses auteurs ne sont pas des cybercriminels mais des services secrets.» explique Jérôme Granger de G Data.
À l’heure actuelle, les moyens utilisés par les attaquants pour infecter leurs cibles avec Uroburos ne sont pas définis. De nombreuses méthodes restent possibles, telles que l’hameçonnage, l’infection dite « Drive-by-download » ou encore l’attaque par ingénierie sociale. G Data n’a pas voulu fournir d’indication sur l’ampleur de la propagation d’Uroboros ni sur le nom des entreprises infectées.
Source : Rapport G Data (au format PDF)
Et vous ?
-
kiprokMembre averti2 questions de newbie :
On fait comment pour planquer un "symbole égyptien représentant un dragon ou un serpent qui essaye de se mordre la queue" dans le code?
Des commentaires qui se trouvent dans un binaire apres compilation? Je ne sais pas trop comment cela se fait (compilation avec trace?)...
Pour une agence de l'ombre ça fait pas tres pro non?le 06/03/2014 à 11:48 -
AiekickMembre extrêmement actifou justement un bon moyen d'incriminer les russes en faisant style oups on à laissé des commentaires. et s'il y a commentaire je doute que ce soit un binaire.le 06/03/2014 à 11:58
-
DonQuicheExpert confirméJe me suis posé les mêmes questions et j'ai donc été voir.
* Il n'y a pas de dessin dans le code. Il y a en revanche une chaîne de caractères "Ur0bUr()sGotyOu#" dans plusieurs fichiers qui semble avoir été mise là à dessein, comme une signature.
* Il n'y a pas de commentaire en russe. En revanche la page de code de la version des binaires (ressource rt_version) est ru-RU.le 06/03/2014 à 13:52 -
kiprokMembre avertiMerci pour les reponses DonQuiche.
Pour la signature je peux comprendre (pratique pour se faire passer pour un groupe de hackeurs "classique" en mal de notoriete) par contre l'embarquement de ressources russe ne me parait pas tres malin...le 06/03/2014 à 14:56 -
benjani13Membre extrêmement actifJe me demandais la même chose.
Ou alors ils ont récupéré du code qui trainait sur un serveur de C&C?le 06/03/2014 à 13:03 -
TiranusKBXExpert confirméOui l'histoire des commentaires dans les binaire c'est zarb
à moins que ce soit fait avec un compilateur d'un langage qui les laissent dans un binaire,
personne ne compile pour avoir les commentaires dans les binairesle 06/03/2014 à 13:51 -
sevyc64ModérateurIl y a toujours l'embarquement d'au moins une page de ressource dans tous les binaires executable compatible windows (je ne connais pas les autres systèmes), Par défaut c'est la page de ressource qui correspond au système de compilation qui est embarquée. Il peut y en avoir automatiquement une autre si le edi/compilateur n'est pas de la même langue que le système, mais ça dépend des compilateurs.le 06/03/2014 à 17:49
-
kiprokMembre avertiJ'entends bien mais de choisir un autre systeme de compilation (meme langue que la cible par exemple) aurait pu être plus malin non? Je trouve ça un peu curieux pour des pro qui souhaitent passer incognito car ça pointe facilement vers les Russes...
A moins que cela soit voulu et assumé pour montrer que les Russes aussi sont equipés en "cyber attaquant".le 07/03/2014 à 9:35