圖片來源: 

德國資安業者G Data最近揭露一個已經潛伏3年,可能來自俄國政府的間諜程式Uroburos。

根據G Data的分析,Uroburos是一個由兩個檔案組成的rootkit程式,其中一個檔案為驅動程式,另一個為加密的檔案系統。Uroburos能夠掌控被感染的電腦,執行各種指示並隱藏在系統內的活動。除了竊取資訊外,亦可攔截網路流量;它具備模組化的架構以方便擴充,因此非常有彈性也非常危險。

該資安機構認為,要開發像是Uroburos的框架需要巨大的投資,此一惡意程式的開發團隊無疑是由高明的電腦專家所組成,同時他們也相信這個團隊一直持續打造其他更精密的變種,只是還未被發現。

Uroburos支援32與64位元的微軟Windows作業系統,是以P2P模式運作,駭客可從遠端操控被駭電腦,也能叫唆這些電腦感染其他與之連結的裝置,其行為模式可於大型企業或組織裡散布。它監控每一台受到感染的電腦,而且可將資料回傳給駭客。基於此一惡意程式的精密程度及所使用的間諜技術,G Data猜測Uroburos鎖定的目標為政府、研究機構與大型企業。

G Data還說,Uroburos是他們有史以來所發現的最先進的rookit之一,它所使用的最久遠的驅動程式是在2011年編譯,判斷Uroburos至少已在市場上潛伏了3年而未被偵測到。

此外,Uroburos所使用的檔案名稱、加密金鑰,與行為模式都與2008年攻擊美國政府的Agent.BTZ惡意程式類似,因此很可能是來自同一個團隊。當時美國政府曾懷疑Agent.BTZ是由俄國政府主導的攻擊活動,巧合的是,Uroburos也是使用俄文。

Agent.BTZ在2008年透過隨身碟大肆感染美國軍方電腦設備,美國政府花了14個月才清除此一可用來掃描硬碟資料、開啟後門,連結遠端命令伺服器的蠕蟲,導致美國軍方下令禁止使用各種外接儲存裝置,被視為是美軍史上最嚴重的電腦被駭事件。

G Data現階段還未找出Uroburos主要的感染途徑,猜測也許是透過網釣、社交工程、磁碟或USB隨身碟感染。(編譯/陳曉莉)

 

熱門新聞

Advertisement