Змія (комп'ютерний хробак)

потужне шкідливе програмне забезпечення в арсеналі російських спецслужб

Змія або уроборос — комп'ютерний хробак.

Snake // Uroborus // Turla
Тип комп'ютерний хробак, руткіт, бекдор
Автор(и) невідомий, пов'язують з російськими розвідувальними підрозділами
Перший випуск перша компіляція - 2006 рік,
помічений - 2010 рік
Операційна система 32- та 64- бітні версії Microsoft Windows

Дослідники британської фірми BAE Systems Applied Intelligence зафіксували в 2013—2014 роках сплеск виявлених випадків зараження інформаційних систем приватних підприємств та державних установ України комп'ютерним хробакомруткітом), який вони назвали «Змія» (англ. snake). Дослідники з німецької фірми GData назвали цього хробака «уроборос», англ. uroborus (також англ. ouroborus — гадюка в грецькій міфології, або англ. sengoku та англ. snark). На думку дослідників обох фірм, цей хробак можливо пов'язаний та був створений на основі хробака Agent.BTZ, який в 2008 році вразив інформаційні системи Центрального Командування ЗС США[1][2][3].

НазваРедагувати

 
Уроборос. Зображення з алхімічного трактату 1478 року. Автор — Теодор Пелеканос

Даний зразок шкідливого програмного забезпечення отримав різні назви від різних компаній, зокрема, він відомий як:

ХарактеристикиРедагувати

Фахівці із CERT-UA виявили кілька особливостей вірусу Uroborus:[5]

  • складність програмного коду (що обумовлює можливість його розроблення із залученням значної кількості людських, технічних і фінансових ресурсів (зокрема, це можуть бути науково-дослідні установи, ІТ-корпорації, державні установи, спецслужби тощо);
  • наявність літер кирилиці у програмному коді;
  • схожість за низкою характеристик (імена файлів, ключі шифру, основні можливості тощо) із троянською програмою Agent.BTZ, яку було знайдено в інформаційних системах ЗС США в 2008 році, що призвело до повної відмови ЗС США від використання USB-носіїв (через які вона поширювалася в автоматизованих системах військового призначення);
  • географія поширення вірусу.

Зважаючи на зазначені особливості, фахівці CERT-UA припускають, що до вироблення вірусу причетні іноземні спецслужби, а сам він очевидно пов'язаний зі зростаючою (листопад 2013 — лютий 2014 року) напруженістю в українсько-російських відносинах[5][6]. Фахівці німецької контррозвідки в щорічному звіті за 2015 рік зазначають, що через велику складність та гнучкість даного зразка шкідливого ПЗ, спосіб його застосування та цілі, проти яких його використано, а також інші ознаки, виявлені фахівцями з комп'ютерної безпеки, можна говорити про його походження та використання російською розвідкою[7].

«Уроборос» здатен поширюватись різними способами, зокрема, через так звані атаки Watering-Hole. Його складно виявляти, він працює автономно, та самостійно поширюється в інфікованих мережах. Враженими можуть бути навіть комп'ютери без прямого підключення до Інтернет[7].

ЗастосуванняРедагувати

Російсько-українська війнаРедагувати

В інтернет-протистоянні Росії з Україною проти України вперше було застосовано троянські програми, ключовою серед яких став вірус Uroburos. З одного боку, завданням цього вірусу було формування бот-мережі із заражених комп'ютерів та отримання повноцінного доступу до їх наповнення, а з іншого — викрадення інформації з цих комп'ютерів. Об'єкти атаки також, вочевидь, були обрані не випадково — веб-ресурси органів державної влади (в тому числі силових структур), засобів масової інформації, фінансових установ, великих промислових підприємств[6].

Дослідники британської фірми BAE Systems Applied Intelligence зафіксували в 2013—2014 роках сплеск виявлених випадків зараження інформаційних систем приватних підприємств та державних установ України комп'ютерним хробакомруткітом), який вони назвали «Змія» (англ. snake). Дослідники з німецької фірми GData назвали цього хробака «уроборос», англ. uroborus (також англ. ouroborus — гадюка в грецькій міфології, або англ. sengoku та англ. snark). На думку дослідників обох фірм, цей хробак можливо пов'язаний та був створений на основі хробака Agent.BTZ, який в 2008 році вразив інформаційні системи Центрального Командування ЗС США[8][2][9].

Пік виявлення атак із використанням хробака «уроборос» збігся з розвитком масових протестів. Протягом січня 2014 року було зафіксовано 22 випадки інфікування інформаційних систем, при цьому протягом 2013 року «уроборос» був виявлений не більше 8 разів. В Україні зловмисники із застосуванням «уроборос» отримували повний доступ до вражених систем. На думку британських експертів, є всі підстави вважати, що за «уроборос» стоять спецслужби Російської Федерації[10].

За даними CERT-UA основними відомими станом на березень 2014 року об'єктами ураження «уроборос» є:

  • веб-ресурси органів державної влади (в тому числі силових структур);
  • веб-ресурси засобів масової інформації;
  • веб-ресурси фінансових установ;
  • веб-ресурси великих промислових підприємств.

Фахівці CERT-UA не виключають, що головною метою Uroborus є порушення фукціонування об'єктів інформаційної інфраструктури України для викрадення конфіденційної інформації. Ретельна підготовка, прихованість дій, спрямованість кібератак (США -2008 рік, Україна — 2014 рік), а також залучення значних ресурсів — все це опосередковано свідчить про причетність іноземних спецслужб. В цьому контексті CERT-UA та деякі українські спеціалісти з інформаційної безпеки вбачають основним мотивом ініціатора кібератак необхідність встановлення прихованого контролю за визначеними об'єктами для подальшого спостереження за інформаційним обміном з власної території[5].

НімеччинаРедагувати

«Уроборос» був застосований не лише проти України, а й проти інших країн. Зокрема, дане ПЗ згадане в річному звіті німецької контррозвідки за 2015 рік. Німецька контррозвідка зазначила, що як і раніше, в 2015 році російська розвідка використовувала «змію» (він же — «Turla») проти установ по всьому світу. В Німеччині жертвами кібератак з його застосуванням стали посольства, заклади вищої освіти, дослідницькі інститути, та приватні підприємства[7].

ПриміткиРедагувати

  1. The Snake Campaign. BAE Systems. 2014. 
  2. а б John E Dunn (7 березня 2014). Invisible Russian cyberweapon stalked US and Ukraine since 2005, new research reveals. Techworld. Процитовано 10 травня 2016. 
  3. Uroburos. Highly complex espionage software with Russian roots. G Data SecurityLabs. 2014-02. 
  4. Symantec Security Response (07 Aug 2014). Turla: Spying tool targets governments and diplomats. Cyberespionage group uses sophisticated malware to target former Eastern Bloc countries. Symantec. 
  5. а б в Зараження вірусом Uroburos. CERT-UA. 19/03/2014. 
  6. а б Д. В. Дубов (2014). Розділ 4. Забезпечення національних інтересів України в глобальному та національному кіберпросторах. Кіберпростір як новий вимір геополітичного суперництва. Київ: Національний інститут стратегічних досліджень. ISBN 978-966-554-240-7. 
  7. а б в Bundesamt für Verfassungsschutz (ред.). Spionage und sonstige nachrichtendienstliche Aktivitäten. Verfassungsschutzbericht 2015. Bundesministerium des Innern. ISSN 0177-0357. 
  8. The Snake Campaign. BAE Systems. 2014. 
  9. Uroburos. Highly complex espionage software with Russian roots. G Data SecurityLabs. 2014-02. 
  10. Майя Яровая (11 березня 2014). Британский эксперт: Россия развязала против Украины кибервойну. AIN.UA. Процитовано 11 травня 2016. 

ЛітератураРедагувати

Див. такожРедагувати

ПосиланняРедагувати