Rus casus yazılımı askeri veriler için avlanıyor
Alman G Data uzmanları, ABD devlet kurumlarındaki bilgisayarlardan gizli verileri çalmak için tasarlanmış, muhtemelen Rus kökenli, oldukça gelişmiş bir virüs keşfetti. Saldırı, altı yıl önceki izinsiz girişin devamı gibi görünüyor - Pentagon'un ağını temizlemesi 14 ay sürdü.
2008'de Amerika Birleşik Devletleri'ne yönelik en büyük siber saldırılardan biri gün ışığına çıktı. Eylem, birinin bir USB sürücüsünü Savunma Bakanlığı'nın otoparkına "bırakmasıyla" başladı. Medya, ABD askeri ağına bulaşan ve saldırıya uğrayan makinelerde arka kapıları açabilen ve daha sonra bu makineler aracılığıyla veri sızdırabilen Agent.btz adlı kötü amaçlı yazılımı içeriyordu.
AG Data'daki uzmanlar şimdi yeni, daha da gelişmiş bir virüs buldular ve kötü amaçlı yazılımın son üç yıldır aktif olabileceğini söylüyorlar. Casus yazılımın kodu, eski bir Yunan sembolünden gelen ve kendi kuyruğunu ısıran bir ejderhayı betimleyen, kendini yansıtma, karmaşıklığa atıfta bulunan Uroburos adını içerir. Ancak isim, yaratıcılarının dünyadaki güç dengesini değiştirmek için kullanmak istediği bir virüsün adı olan Resident Evil film ve video oyunu serisinde yer alıyor.
Son derece karmaşık program kodu, Rus dilinin kullanılması ve hala Agent.btz'e sahip bilgisayarlarda Uroburos'un etkinleştirilmemesi gerçeği, askeri ağları ortadan kaldırmayı amaçlayan iyi organize edilmiş bir eylem olduğunu gösteriyor. Virüs, doğrudan internete bağlı olmayan bilgisayarlardan veri sızdırabilir. Bunu yapmak için ağlarda kendi iletişim kanallarını kurar ve daha sonra çevrimiçi bağlantısı olmayan makinelerden gelen verileri World Wide Web'e bağlı olanlara iletir. Bunu daha da büyük yapan şey, büyük bir ağda, World Wide Web'e bağlı olmayan bir iş istasyonundan veri çalan ve ardından kötü amaçlı yazılımın yaratıcılarına ileten hangi çevrimiçi bilgisayarın olduğunu bulmak son derece zordur.
BT mimarisi açısından, Uroburos, bir sürücü ve bir sanal dosya sistemi olmak üzere iki dosyadan oluşturulan bir rootkit'tir. Bir rootkit, virüslü bir bilgisayarın kontrolünü ele geçirebilir, komutları yürütebilir ve sistem işlemlerini gizleyebilir. Modüler tasarımı sayesinde her an yeni özelliklerle güncellenebilmesi onu son derece tehlikeli kılıyor. Sürücü dosyasının programlama stili karmaşık ve gizlidir, bu da tanımlanmasını zorlaştırır. AG Data uzmanları, böyle bir kötü amaçlı yazılım oluşturmanın ciddi bir geliştirme ekibi ve bilgisi gerektirdiğini ve bunun da hedefli bir saldırı olma olasılığını artırdığını vurguluyor. Sürücünün ve sanal dosya sisteminin kötü amaçlı kodda ayrılmış olması, yalnızca her ikisine sahip olmanın rootkit çerçevesini analiz edebileceği anlamına gelir ve bu da Uroburos'u algılamayı son derece zorlaştırır. Zararlının teknik işleyişi hakkında daha fazla bilgi için Macaristan'da G Data antivirüs web sitesi okunabilir.
