Из России с руткитом
Немецкий разработчик систем IT-защиты G Data сообщил, что обнаружил набор программных средств для сбора конфиденциальных данных (руткит), которому дал название Uroburos. Это самая продвинутая из всех вредоносных программ, с которыми приходилось сталкиваться аналитикам компании. Когда программа заражает компьютер, то начинает не только шпионить за ним, похищая данные и отправляя их злоумышленникам, но и старается инфицировать всю компьютерную сеть, к которой подключен ПК.
Сложность руткита свидетельствует в пользу того, что его целями должны были стать госструктуры, научно-исследовательские институты и т. д., пишут аналитики G Data. Они предполагают, что программа могла незаметно похищать информацию с компьютеров начиная с 2011 г., и отмечают схожесть руткита с вредоносной программой Agent.BTZ, которая в 2008-2009 гг. атаковала объекты минобороны США.
G Data подозревает, что руткит имеет российское происхождение и его разработчики тоже могли быть причастны к кибератакам на объекты США. К такому выводу ее аналитики пришли, в частности, обнаружив в коде программы русскоязычные фрагменты. Создание такой программы должно было потребовать огромных вложений, пишут они и предполагают, что разработчики Uroburos продолжают работать над еще более передовой ее версией.
Различные антивирусы уже некоторое время успешно детектировали Uroburos, но до сих пор никто не занимался детальным анализом этой программы, говорят представители «Лаборатории Касперского» и «Доктор Веб». Ее функционал частично встречался в «троянцах», в частности нацеленных на кражу средств из систем онлайн-банкинга, говорит главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев. Особенность этого руткита в том, что он один из первых работающих в 64-битной Windows, добавляет он.
Явных подтверждений связи Uroburos с российскими спецслужбами опрошенные «Ведомостями» эксперты не видят. Однако подобные руткиты очень удобны для спецслужб, так как почти полностью анонимны и причастность к их разработке очень тяжело доказать, говорит директор представительства Check Point в России и СНГ Василий Дягилев. В мире все больше кибершпионских программ, созданных спецслужбами, напоминает Гостев из «Лаборатории Касперского»: только за последнее время были выявлены «Красный октябрь», NetTraveler, Icefog и «Маска».