Змія (комп'ютерний хробак)

Snake // Uroborus // Turla
Тип	комп'ютерний хробак, руткіт, бекдор
Автор(и)	невідомий, пов'язують з російськими розвідувальними підрозділами
Перший випуск	перша компіляція - 2006 рік,; помічений - 2010 рік
Операційна система	32- та 64- бітні версії Microsoft Windows

Змія або уроборос — комп'ютерний хробак.

Дослідники британської фірми BAE Systems Applied Intelligence зафіксували в 2013—2014 роках сплеск виявлених випадків зараження інформаційних систем приватних підприємств та державних установ України комп'ютерним хробаком (з руткітом), який вони назвали «Змія» (англ. snake). Дослідники з німецької фірми GData назвали цього хробака «уроборос», англ. uroborus (також англ. ouroborus — гадюка в грецькій міфології, або англ. sengoku та англ. snark). На думку дослідників обох фірм, цей хробак можливо пов'язаний та був створений на основі хробака Agent.BTZ, який в 2008 році вразив інформаційні системи Центрального Командування ЗС США[1][2][3].

Назва

Уроборос. Зображення з алхімічного трактату 1478 року. Автор — Теодор Пелеканос

Даний зразок шкідливого програмного забезпечення отримав різні назви від різних компаній, зокрема, він відомий як:

«Уроборос», англ. uroborus, також англ. ouroborus — гадюка в грецькій міфології
англ. Sengoku та англ. snark)
англ. Turla[4].

Характеристики

Фахівці із CERT-UA виявили кілька особливостей вірусу Uroborus:[5]

складність програмного коду (що обумовлює можливість його розроблення із залученням значної кількості людських, технічних і фінансових ресурсів (зокрема, це можуть бути науково-дослідні установи, ІТ-корпорації, державні установи, спецслужби тощо);
наявність літер кирилиці у програмному коді;
схожість за низкою характеристик (імена файлів, ключі шифру, основні можливості тощо) із троянською програмою Agent.BTZ, яку було знайдено в інформаційних системах ЗС США в 2008 році, що призвело до повної відмови ЗС США від використання USB-носіїв (через які вона поширювалася в автоматизованих системах військового призначення);
географія поширення вірусу.

Зважаючи на зазначені особливості, фахівці CERT-UA припускають, що до вироблення вірусу причетні іноземні спецслужби, а сам він очевидно пов'язаний зі зростаючою (листопад 2013 — лютий 2014 року) напруженістю в українсько-російських відносинах[5][6]. Фахівці німецької контррозвідки в щорічному звіті за 2015 рік зазначають, що через велику складність та гнучкість даного зразка шкідливого ПЗ, спосіб його застосування та цілі, проти яких його використано, а також інші ознаки, виявлені фахівцями з комп'ютерної безпеки, можна говорити про його походження та використання російською розвідкою[7].

«Уроборос» здатен поширюватись різними способами, зокрема, через так звані атаки Watering-Hole. Його складно виявляти, він працює автономно, та самостійно поширюється в інфікованих мережах. Враженими можуть бути навіть комп'ютери без прямого підключення до Інтернет[7].

Застосування

Російсько-українська війна

В інтернет-протистоянні Росії з Україною проти України вперше було застосовано троянські програми, ключовою серед яких став вірус Uroburos. З одного боку, завданням цього вірусу було формування бот-мережі із заражених комп'ютерів та отримання повноцінного доступу до їх наповнення, а з іншого — викрадення інформації з цих комп'ютерів. Об'єкти атаки також, вочевидь, були обрані не випадково — веб-ресурси органів державної влади (в тому числі силових структур), засобів масової інформації, фінансових установ, великих промислових підприємств[6].

Дослідники британської фірми BAE Systems Applied Intelligence зафіксували в 2013—2014 роках сплеск виявлених випадків зараження інформаційних систем приватних підприємств та державних установ України комп'ютерним хробаком (з руткітом), який вони назвали «Змія» (англ. snake). Дослідники з німецької фірми GData назвали цього хробака «уроборос», англ. uroborus (також англ. ouroborus — гадюка в грецькій міфології, або англ. sengoku та англ. snark). На думку дослідників обох фірм, цей хробак можливо пов'язаний та був створений на основі хробака Agent.BTZ, який в 2008 році вразив інформаційні системи Центрального Командування ЗС США[1][2][3].

Пік виявлення атак із використанням хробака «уроборос» збігся з розвитком масових протестів. Протягом січня 2014 року було зафіксовано 22 випадки інфікування інформаційних систем, при цьому протягом 2013 року «уроборос» був виявлений не більше 8 разів. В Україні зловмисники із застосуванням «уроборос» отримували повний доступ до вражених систем. На думку британських експертів, є всі підстави вважати, що за «уроборос» стоять спецслужби Російської Федерації[8].

За даними CERT-UA основними відомими станом на березень 2014 року об'єктами ураження «уроборос» є:

веб-ресурси органів державної влади (в тому числі силових структур);
веб-ресурси засобів масової інформації;
веб-ресурси фінансових установ;
веб-ресурси великих промислових підприємств.

Фахівці CERT-UA не виключають, що головною метою Uroborus є порушення фукціонування об'єктів інформаційної інфраструктури України для викрадення конфіденційної інформації. Ретельна підготовка, прихованість дій, спрямованість кібератак (США -2008 рік, Україна — 2014 рік), а також залучення значних ресурсів — все це опосередковано свідчить про причетність іноземних спецслужб. В цьому контексті CERT-UA та деякі українські спеціалісти з інформаційної безпеки вбачають основним мотивом ініціатора кібератак необхідність встановлення прихованого контролю за визначеними об'єктами для подальшого спостереження за інформаційним обміном з власної території[5].

Німеччина

«Уроборос» був застосований не лише проти України, а й проти інших країн. Зокрема, дане ПЗ згадане в річному звіті німецької контррозвідки за 2015 рік. Німецька контррозвідка зазначила, що як і раніше, в 2015 році російська розвідка використовувала «змію» (він же — «Turla») проти установ по всьому світу. В Німеччині жертвами кібератак з його застосуванням стали посольства, заклади вищої освіти, дослідницькі інститути, та приватні підприємства[7].

Примітки

The Snake Campaign. BAE Systems. 2014.
John E Dunn (7 березня 2014). Invisible Russian cyberweapon stalked US and Ukraine since 2005, new research reveals. Techworld. Процитовано 10 травня 2016.
Uroburos. Highly complex espionage software with Russian roots. G Data SecurityLabs. 2014-02.
Symantec Security Response (07 Aug 2014). Turla: Spying tool targets governments and diplomats. Cyberespionage group uses sophisticated malware to target former Eastern Bloc countries. Symantec.
Зараження вірусом Uroburos. CERT-UA. 19/03/2014.
Д. В. Дубов (2014). Розділ 4. Забезпечення національних інтересів України в глобальному та національному кіберпросторах. Кіберпростір як новий вимір геополітичного суперництва. Київ: Національний інститут стратегічних досліджень. ISBN 978-966-554-240-7.
Bundesamt für Verfassungsschutz (ред.). Spionage und sonstige nachrichtendienstliche Aktivitäten. Verfassungsschutzbericht 2015. Bundesministerium des Innern. ISSN 0177-0357.
Майя Яровая (11 березня 2014). Британский эксперт: Россия развязала против Украины кибервойну. AIN.UA. Процитовано 11 травня 2016.

Література

The Snake Campaign. BAE Systems. 2014.
Uroburos Highly complex espionage software with Russian roots. G Data SecurityLabs. 2014.
Kaspersky (7 серпня 2014). The Epic Turla Operation. Solving some of the mysteries of Snake/Uroburos. Securelist.
The Uroburos case: new sophisticated RAT identified. G Data Security Blog. листопад 2014.
Kurt Baumgartner, Costin Raiu (December 8, 2014). The ‘Penquin’ Turla. A Turla/Snake/Uroburos Malware for Linux. Securelist.

Див. також

Agent.BTZ
Turla (розвинена стала загроза)

Посилання

Turla spying tool targets governments and diplomats, Symantec
Зараження вірусом Uroburos, CERT-UA
TR-25 Analysis — Turla / Pfinet / Snake/ Uroburos circl.lu

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.

[:0-1] The Snake Campaign. BAE Systems. 2014.

[tw.7-2] John E Dunn (7 березня 2014). Invisible Russian cyberweapon stalked US and Ukraine since 2005, new research reveals. Techworld. Процитовано 10 травня 2016.

[:1-3] Uroburos. Highly complex espionage software with Russian roots. G Data SecurityLabs. 2014-02.

[4] Symantec Security Response (07 Aug 2014). Turla: Spying tool targets governments and diplomats. Cyberespionage group uses sophisticated malware to target former Eastern Bloc countries. Symantec.

[cert.19-5] Зараження вірусом Uroburos. CERT-UA. 19/03/2014.

[dubov-6] Д. В. Дубов (2014). Розділ 4. Забезпечення національних інтересів України в глобальному та національному кіберпросторах. Кіберпростір як новий вимір геополітичного суперництва. Київ: Національний інститут стратегічних досліджень. ISBN 978-966-554-240-7.

[bfs.2015-7] Bundesamt für Verfassungsschutz (ред.). Spionage und sonstige nachrichtendienstliche Aktivitäten. Verfassungsschutzbericht 2015. Bundesministerium des Innern. ISSN 0177-0357.

[8] Майя Яровая (11 березня 2014). Британский эксперт: Россия развязала против Украины кибервойну. AIN.UA. Процитовано 11 травня 2016.