Змія (комп'ютерний хробак)
Змія або уроборос — комп'ютерний хробак.
Тип | комп'ютерний хробак, руткіт, бекдор |
---|---|
Автор(и) | невідомий, пов'язують з російськими розвідувальними підрозділами |
Перший випуск |
перша компіляція - 2006 рік, помічений - 2010 рік |
Операційна система | 32- та 64- бітні версії Microsoft Windows |
Дослідники британської фірми BAE Systems Applied Intelligence зафіксували в 2013—2014 роках сплеск виявлених випадків зараження інформаційних систем приватних підприємств та державних установ України комп'ютерним хробаком (з руткітом), який вони назвали «Змія» (англ. snake). Дослідники з німецької фірми GData назвали цього хробака «уроборос», англ. uroborus (також англ. ouroborus — гадюка в грецькій міфології, або англ. sengoku та англ. snark). На думку дослідників обох фірм, цей хробак можливо пов'язаний та був створений на основі хробака Agent.BTZ, який в 2008 році вразив інформаційні системи Центрального Командування ЗС США[1][2][3].
Назва
Даний зразок шкідливого програмного забезпечення отримав різні назви від різних компаній, зокрема, він відомий як:
Характеристики
Фахівці із CERT-UA виявили кілька особливостей вірусу Uroborus:[5]
- складність програмного коду (що обумовлює можливість його розроблення із залученням значної кількості людських, технічних і фінансових ресурсів (зокрема, це можуть бути науково-дослідні установи, ІТ-корпорації, державні установи, спецслужби тощо);
- наявність літер кирилиці у програмному коді;
- схожість за низкою характеристик (імена файлів, ключі шифру, основні можливості тощо) із троянською програмою Agent.BTZ, яку було знайдено в інформаційних системах ЗС США в 2008 році, що призвело до повної відмови ЗС США від використання USB-носіїв (через які вона поширювалася в автоматизованих системах військового призначення);
- географія поширення вірусу.
Зважаючи на зазначені особливості, фахівці CERT-UA припускають, що до вироблення вірусу причетні іноземні спецслужби, а сам він очевидно пов'язаний зі зростаючою (листопад 2013 — лютий 2014 року) напруженістю в українсько-російських відносинах[5][6]. Фахівці німецької контррозвідки в щорічному звіті за 2015 рік зазначають, що через велику складність та гнучкість даного зразка шкідливого ПЗ, спосіб його застосування та цілі, проти яких його використано, а також інші ознаки, виявлені фахівцями з комп'ютерної безпеки, можна говорити про його походження та використання російською розвідкою[7].
«Уроборос» здатен поширюватись різними способами, зокрема, через так звані атаки Watering-Hole. Його складно виявляти, він працює автономно, та самостійно поширюється в інфікованих мережах. Враженими можуть бути навіть комп'ютери без прямого підключення до Інтернет[7].
Застосування
Російсько-українська війна
В інтернет-протистоянні Росії з Україною проти України вперше було застосовано троянські програми, ключовою серед яких став вірус Uroburos. З одного боку, завданням цього вірусу було формування бот-мережі із заражених комп'ютерів та отримання повноцінного доступу до їх наповнення, а з іншого — викрадення інформації з цих комп'ютерів. Об'єкти атаки також, вочевидь, були обрані не випадково — веб-ресурси органів державної влади (в тому числі силових структур), засобів масової інформації, фінансових установ, великих промислових підприємств[6].
Дослідники британської фірми BAE Systems Applied Intelligence зафіксували в 2013—2014 роках сплеск виявлених випадків зараження інформаційних систем приватних підприємств та державних установ України комп'ютерним хробаком (з руткітом), який вони назвали «Змія» (англ. snake). Дослідники з німецької фірми GData назвали цього хробака «уроборос», англ. uroborus (також англ. ouroborus — гадюка в грецькій міфології, або англ. sengoku та англ. snark). На думку дослідників обох фірм, цей хробак можливо пов'язаний та був створений на основі хробака Agent.BTZ, який в 2008 році вразив інформаційні системи Центрального Командування ЗС США[1][2][3].
Пік виявлення атак із використанням хробака «уроборос» збігся з розвитком масових протестів. Протягом січня 2014 року було зафіксовано 22 випадки інфікування інформаційних систем, при цьому протягом 2013 року «уроборос» був виявлений не більше 8 разів. В Україні зловмисники із застосуванням «уроборос» отримували повний доступ до вражених систем. На думку британських експертів, є всі підстави вважати, що за «уроборос» стоять спецслужби Російської Федерації[8].
За даними CERT-UA основними відомими станом на березень 2014 року об'єктами ураження «уроборос» є:
- веб-ресурси органів державної влади (в тому числі силових структур);
- веб-ресурси засобів масової інформації;
- веб-ресурси фінансових установ;
- веб-ресурси великих промислових підприємств.
Фахівці CERT-UA не виключають, що головною метою Uroborus є порушення фукціонування об'єктів інформаційної інфраструктури України для викрадення конфіденційної інформації. Ретельна підготовка, прихованість дій, спрямованість кібератак (США -2008 рік, Україна — 2014 рік), а також залучення значних ресурсів — все це опосередковано свідчить про причетність іноземних спецслужб. В цьому контексті CERT-UA та деякі українські спеціалісти з інформаційної безпеки вбачають основним мотивом ініціатора кібератак необхідність встановлення прихованого контролю за визначеними об'єктами для подальшого спостереження за інформаційним обміном з власної території[5].
Німеччина
«Уроборос» був застосований не лише проти України, а й проти інших країн. Зокрема, дане ПЗ згадане в річному звіті німецької контррозвідки за 2015 рік. Німецька контррозвідка зазначила, що як і раніше, в 2015 році російська розвідка використовувала «змію» (він же — «Turla») проти установ по всьому світу. В Німеччині жертвами кібератак з його застосуванням стали посольства, заклади вищої освіти, дослідницькі інститути, та приватні підприємства[7].
Примітки
- The Snake Campaign. BAE Systems. 2014.
- John E Dunn (7 березня 2014). Invisible Russian cyberweapon stalked US and Ukraine since 2005, new research reveals. Techworld. Процитовано 10 травня 2016.
- Uroburos. Highly complex espionage software with Russian roots. G Data SecurityLabs. 2014-02.
- Symantec Security Response (07 Aug 2014). Turla: Spying tool targets governments and diplomats. Cyberespionage group uses sophisticated malware to target former Eastern Bloc countries. Symantec.
- Зараження вірусом Uroburos. CERT-UA. 19/03/2014.
- Д. В. Дубов (2014). Розділ 4. Забезпечення національних інтересів України в глобальному та національному кіберпросторах. Кіберпростір як новий вимір геополітичного суперництва. Київ: Національний інститут стратегічних досліджень. ISBN 978-966-554-240-7.
- Bundesamt für Verfassungsschutz (ред.). Spionage und sonstige nachrichtendienstliche Aktivitäten. Verfassungsschutzbericht 2015. Bundesministerium des Innern. ISSN 0177-0357.
- Майя Яровая (11 березня 2014). Британский эксперт: Россия развязала против Украины кибервойну. AIN.UA. Процитовано 11 травня 2016.
Література
- The Snake Campaign. BAE Systems. 2014.
- Uroburos Highly complex espionage software with Russian roots. G Data SecurityLabs. 2014.
- Kaspersky (7 серпня 2014). The Epic Turla Operation. Solving some of the mysteries of Snake/Uroburos. Securelist.
- The Uroburos case: new sophisticated RAT identified. G Data Security Blog. листопад 2014.
- Kurt Baumgartner, Costin Raiu (December 8, 2014). The ‘Penquin’ Turla. A Turla/Snake/Uroburos Malware for Linux. Securelist.
Див. також
- Agent.BTZ
- Turla (розвинена стала загроза)
Посилання
- Turla spying tool targets governments and diplomats, Symantec
- Зараження вірусом Uroburos, CERT-UA
- TR-25 Analysis — Turla / Pfinet / Snake/ Uroburos circl.lu