Lo spyware russo è a caccia di dati militari

Gli esperti tedeschi di G Data hanno scoperto un virus altamente avanzato, presumibilmente di origine russa, che mira a rubare dati riservati dai computer delle organizzazioni governative degli Stati Uniti. L'attacco sembra essere una continuazione dell'intrusione di sei anni fa: il Pentagono ha impiegato 14 mesi per liberare la sua rete.

Nel 2008 è venuto alla luce uno dei più grandi attacchi informatici contro gli Stati Uniti. L'azione è iniziata con qualcuno che "lasciava" un'unità USB in un parcheggio del Dipartimento della Difesa. I media contenevano il malware Agent.btz, che ha infettato la rete militare degli Stati Uniti ed è stato in grado di aprire backdoor sulle macchine attaccate e quindi far trapelare dati attraverso di esse.

Gli esperti di AG Data hanno ora trovato un nuovo virus ancora più avanzato e affermano che il malware potrebbe essere stato attivo negli ultimi tre anni. Il codice dello spyware include il nome Uroburos, che deriva da un antico simbolo greco e raffigura un drago che si morde la coda, riferendosi all'autoriflessione, alla complessità. Tuttavia, il nome appare nella serie di film e videogiochi Resident Evil, il nome di un virus che i suoi creatori vogliono usare per cambiare l'equilibrio del potere nel mondo.

Il codice del programma estremamente complesso, l'uso della lingua russa e il fatto che Uroburos non sia attivato sui computer che hanno ancora Agent.btz suggeriscono che si tratta di un'azione ben organizzata volta a rimuovere le reti militari per ottenere informazioni. Il virus è in grado di far trapelare dati da computer che non sono direttamente connessi a Internet. Per fare ciò, costruisce i propri canali di comunicazione nelle reti e quindi trasmette i dati dalle macchine che non hanno una connessione online a quelle che si collegano al World Wide Web. Inoltre, rende estremamente difficile rilevare quale computer online in una grande rete sta rubando dati da una workstation non connessa al World Wide Web e poi li inoltra ai produttori di malware.

In termini di architettura IT, Uroburos è un cosiddetto rootkit, creato da due file, un driver e un file system virtuale. Un rootkit può assumere il controllo di un computer infetto, eseguire comandi e nascondere i processi di sistema. Grazie al suo design modulare, può essere aggiornato in qualsiasi momento con nuove funzionalità, il che lo rende estremamente pericoloso. Lo stile di programmazione del file del driver è complesso e discreto, il che rende difficile l'identificazione. Gli esperti di AG Data sottolineano che la creazione di un malware di questo tipo richiede un team di sviluppo serio e conoscenze, il che rende anche probabile che si tratti di un attacco mirato. Il fatto che il driver e il file system virtuale siano separati in codice dannoso significa anche che solo entrambi hanno il framework rootkit da analizzare, il che rende estremamente difficile rilevare Uroburos. Per ulteriori informazioni sul funzionamento tecnico del parassita a Sito web antivirus G Data in Ungheria leggibile.