Wat is het Uroburos- of Snake-rootkit voor iets?
Cybercrime is niet het enigste wat meer en meer ingewikkelder wordt. De inlichtingendiensten van de grootmachten op deze aarde zetten meer en meer geld in het ontwikkelen van malware voor spionage en cyberwarfare doeleinden. De Uroburos-rootkit, ook bekend onder de naam Snake-rootkit is een uiterst complex stukje spionage software voor het stelen van vertrouwlijke informatie. Recentelijk is bekend geworden dat de computers van het Belgische ministerie van buitenlandse zaken besmet zijn geweest met deze Snake-rootkit. Het is te hopen dat de gestolen documenten beveiligd zijn geworden door een sterke vorm van encryptie.
In beginsel is Uroburos/Snake een rootkit die bestaat uit twee verschillende bestanden, een driver en een versleutelde virtueel bestandssysteem. De rootkit kan gemakkelijk ongemerkt de volledige controle overnemen over het besmette systeem. Natuurlijk, het gaat hier ook om modulaire malware, d.w.z. de Uroburos bestaat uit verschillende of bevat meerdere soorten malware programma’s. Vandaar dat de verwijzing naar rootkit alleen maar één module aangeeft van het Uroburos / Snake programma. De juiste term is naar mijn mening spionage of spy software. Spionage software bestaat meestal uit verschillende malware modules. In het geval van Uroborus zit er o.a. ook een spyware module in die al het netwerk verkeer kan onderscheppen en afluisteren. Bovendien kan de ‘hacker’ de malware met verdere ‘nuttige’ modules opwaarderen op bepaalde taken uit te voeren. De driver van deze spionage softwar is uiterst geavanceerd en ontwikkeld om detectie bijna onmogelijk te maken. Vandaar dat we met zekerheid kunnen zeggen dat dit het werk van een inlichtingendienst is met veel geld. Het ontwikkelen van het Uroburos Snake spionage programma vraagt om veel geld en de beste experts. Deze computer hacking / cracking experts kunnen via één besmette computer met Uroburos alle andere computers infecteren (ook die computers zonder internetverbinding) via P2P. Het is duidelijk dat Snake / Uroburos ontwikkeld is met het doel om computers te kunnen infecteren die net met het internet verbonden zijn. Het is te vergelijken met de Fanny Spionageworm.
Wie heeft de Uroburos – Snake rootkit ontdekt?
Het Duitse bedrijf G-Data Security heeft deze malware ontdekt in het eerste kwartaal van 2014. Deze spionage software is al een aantal jaren actief en waarschijnlijk weer verder geperfectioneerd geworden in de vorm van een nieuwe nog onbekende variant. We lopen dus achter op de feiten ) :
- Hier kun je een technische analyse verkrijgen:
https://www.gdata.de/rdk/dl-en-rp-Uroburos
Kaspersky is ook bezig met het bestuderen van deze spionage software. Kaspersky analyseert en vergelijkt de werking van deze malware met de werking van andere zeer complexe rootkits zoals Agent.BTZ, Turla, SillyFDC worm, Sun Worm Rootkit etc… .
Wie heeft de Uroburos & Snake spionage software gemaakt?
Dit is niet bekend, maar de Russische geheime dienst is een van de verdachte. Het wordt ook wel de Russische slang (Russian Snake) genoemd. Uroburos controleert een systeem op een malware programma genaamd Agent.BTZ. Het is bekend dat deze malware is gebruik geworden door een Russiche groep tijdens een cyberattack op computer systemen van de V.S. in 2008 en dat er een aanknoping is met de Russische taal. Maar goed, het feit dat de hackers waarschijnlijk Russisch spreken, wil nog niet zeggen dat deze door de Russische geheime dienst is gebouwd… het kan ook de Chinese geheime dienst zijn die Russische hackers in dienst heeft genomen…. of misschien de Iraanse geheime dienst? Die hebben nog een appeltje te schillen met de CIA in verband met de MASK-cyberaanval om hun nuclair programma. Wat betekent eigenlijk de bijnaam Russische Stuxnet die ook veel gebruikt wordt voor de Snake-rootkit.
Voor wie is deze spionage software gemaakt?
De Snake-rootkit en Uroburos-rootkit zijn gemaakt om overheidsinstellingen en grote bedrijven te infecteren. Waarschijnlijk vooral amerikaanse instellingen en bedrijven. De manier waarop dit spionage programma op een computer kan komen is nog niet bekend. Waarschijnlijk door een combinatie van aanvalstechnieken zoals drive-by-downloads, USB-sticks, social engineering, phishing etc.
Gerelateerde artikels:
- Hoe kan ik het beste malware verwijderen van mijn computer?
- Wat is de beste antivirus die ik kan kopen voor mijn computer?
- Waarom en hoe kan ik veiliger en anoniem surfen?
- De groei van de cybercrime op het internet.
- Waarom is SurfRight een bijzonder IT-security bedrijf?
Bronnen:
- Kaspersky – Secure List – Agent.BTZ as a source of inspiration?
- G-Data Software – Blog – Oruburos rootkit & kernel protection mitigation
- Security.nl – Geavanceerde Snake-rootkit besmette Belgisch ministerie
You must log in to post a comment. Log in now.