Gli esperti di sicurezza di G Data hanno scoperto e analizzato un sofisticatissimo e complesso spyware.
Il rootkit, chiamato "Uroburos", lavora in modo autonomo e si diffonde da solo nelle reti infette; perfino i computer che non sono direttamente connessi a Internet vengono attaccati da questo malware.
G Data ritiene che sviluppare questo tipo di software richieda sostanziali investimenti sia in termini di personale che di infrastruttura.
Il design e l'alto livello di complessità del malware, infatti, lasciano presumere che sia stato progettato dai servizi segreti.
Basato su dettagli tecnici come nomi di file, crittazione, software behaviour, si sospetta che Uroburos possa provenire dalla stessa fonte che aveva già lanciato un cyber attacco contro gli Stati Uniti nel 2008, quando fu usato il malware chiamato "Agent.BTZ.
G Data stima che questo spyware sia rimasto non identificato per almeno tre anni.
Una dettagliata analisi tecnica è disponibile qui: https://www.gdata.de/rdk/dl-en-rp-Uroburos.
Ma che cos'è Uroburos?
Uroburos è un rootkit che consiste di due file, un "driver" ed un "encrypted virtual file system".
Questo malware può essere usato per prendere il controllo dei PC infetti, eseguire qualsiasi programma sul computer e nascondere le proprie azioni sul sistema.
Uroburos è anche in grado di rubare e registrare il traffico dati nella rete.
La sua struttura modulare consente di potenziare il malware con funzioni addizionali.
Grazie a questa flessibilità e modularità, G Data ritiene che questo rootkit sia molto avanzato e pericoloso.
G Data ritiene, inoltre, che i programmatori abbiano sviluppato anche un rootkit ancora più avanzato che non è stato ancora scoperto.
Il rootkit Uroburos è il malware più avanzato che gli esperti di G Data abbiano mai analizzato, poichè il più vecchio driver che è stato trovato durante questa analisi risale al 2011, dimostrando che l'attacco è rimasto non individuato per ben tre anni.
Uroburos è progettato per lavorare su grandi network di aziende, autorità pubbliche, organizzazioni e istituti di ricerca: il malware si diffonde automaticamente e lavora in modalità "peer-to-peer", dove i computer infetti in un network chiuso comunicano direttamente l'uno con l'altro.
Basta che vi sia anche solo un computer con accesso a Internet.
I computer infetti spiano documenti o altri dati e li trasferiscono poi al PC dotato di connessione Internet dove tutti i dati vengono raccolti per poi essere trasferiti sul PC di chi ha condotto l'attacco.
Uroburos supporta Microsoft Windows sia a 32 che 64 bit.
Cosa significa il nome?
G Data ha chiamato questo malware "Uroburos" sulla base di un nome corrispondente trovato nel codice sorgente.
Il nome è basato su un antico simbolo greco raffigurante un serpente o un drago che si morde la propria coda.
