俄羅斯在克里米亞的軍事活動(dòng)正成為全世界的焦點(diǎn)，而它在幕后的網(wǎng)絡(luò)間諜戰(zhàn)也正有條不紊的繼續(xù)著。俄羅斯政府黑客被懷疑是間諜軟件Uroburos的幕后作者。

Uroburos是一種p2p傳播的惡意程序，被安全公司G-Data稱之為至今發(fā)現(xiàn)的最先進(jìn)rootkit惡意程序之一。Uroburos的間諜活動(dòng)至少秘密進(jìn)行了三年，G-Data稱它的開(kāi)發(fā)需要巨大的資金投入和經(jīng)驗(yàn)豐富的專家。程序的源代碼中包含了俄語(yǔ)字符串，并被發(fā)現(xiàn)在搜索另一個(gè)間諜軟件Agent.BTZ，Agent.BTZ是涉及滲透進(jìn)五角大樓的惡意程序。

[[109720]]

俄羅斯政府黑客被懷疑開(kāi)發(fā)了一款高度復(fù)雜的惡意軟件，用來(lái)從一些國(guó)家政府的基礎(chǔ)數(shù)字設(shè)施竊取文件。

這款名為Uroburos的惡意軟件是根據(jù)一種古老的符號(hào)——烏洛波洛斯來(lái)命名的，其形象符號(hào)是最近出現(xiàn)在冒險(xiǎn)游戲斷劍5中的銜尾蛇。這款惡意軟件通過(guò)P2P模式運(yùn)行，這也就意味著即使沒(méi)有連接公網(wǎng)，這款軟件仍然可以在機(jī)器間傳播。

全球頂級(jí)殺軟G-Data表示這是迄今為止發(fā)現(xiàn)的最先進(jìn)的rootkit惡意程序之一。

俄羅斯情報(bào)部門參與?

[[109721]]

它可以適用于32位和64位系統(tǒng)。而Uroburos的間諜活動(dòng)至少可以追溯到2011年，已經(jīng)運(yùn)行了至少三年而未被發(fā)現(xiàn)。

G-Data表示：

“像Uroburos這樣框架的開(kāi)發(fā)需要巨大的投資，我們從rootkit的結(jié)構(gòu)和先進(jìn)的設(shè)計(jì)推斷，這款惡意軟件的開(kāi)發(fā)團(tuán)隊(duì)中顯然有著大量經(jīng)驗(yàn)豐富的計(jì)算機(jī)專家。”

“這種設(shè)計(jì)太專業(yè)了，事實(shí)上攻擊者將驅(qū)動(dòng)和虛擬文件系統(tǒng)完全獨(dú)立開(kāi)了，只有在這兩部分組合起來(lái)才能正常工作，這就導(dǎo)致了對(duì)其分析起來(lái)便非常復(fù)雜。要想分析這個(gè)框架只有將兩個(gè)組件正確組合起來(lái)。而驅(qū)動(dòng)所包含的必要功能與單獨(dú)的文件系統(tǒng)是無(wú)法實(shí)行解密的。”

“這種網(wǎng)絡(luò)設(shè)計(jì)太高效了，對(duì)于一個(gè)事件響應(yīng)來(lái)說(shuō)，要完成p2p基礎(chǔ)設(shè)施的處理往往是非常復(fù)雜的。因?yàn)椴荒芸焖僮R(shí)別不同受感染機(jī)器之間的聯(lián)系，這就導(dǎo)致被動(dòng)節(jié)點(diǎn)很難被處理。”

G-Data的研究者在這款軟件的源代碼中發(fā)現(xiàn)了大量的俄語(yǔ)字符，并被發(fā)現(xiàn)在搜索另一個(gè)間諜軟件Agent.BTZ(一款在2008年用于滲透五角大樓的惡意軟件)，這也就直指俄羅斯的間諜活動(dòng)行為。

我們?nèi)杂浀茫?dāng)Agent.BTZ攻擊發(fā)起時(shí)，有一個(gè)USB存儲(chǔ)承載著Agent.BTZ在美國(guó)國(guó)防部的電腦間“流竄”。早在2008年，由于這種軟件通過(guò)“U盤(pán)”來(lái)瘋狂傳播，因此美軍暫時(shí)禁止官兵在任何軍方電腦上使用U盤(pán)或者其他外置存儲(chǔ)裝置。

“我們相信，Uroburos的背后開(kāi)發(fā)團(tuán)隊(duì)會(huì)繼續(xù)致力于開(kāi)發(fā)更先進(jìn)的惡意軟件變種，當(dāng)然這還有待于我們進(jìn)一步發(fā)現(xiàn)”，G-Data補(bǔ)充說(shuō)明。

“我們可以確定的事實(shí)是Uroburos的目標(biāo)絕不是張三李四王二麻子某個(gè)個(gè)人，而是高端企業(yè)、政府機(jī)關(guān)、情報(bào)機(jī)構(gòu)和其他相關(guān)部門。”

原文地址：http://www.techweekeurope.co.uk/news/russian-intelligence-uroburos-malware-140494