Vírusírtó Blog

Az oroszok kémkednek a legtöbbet

2015.01.27. 10:00 G Data

gdata_virusirto_logo.pngAz elmúlt hét évben orosz eredetű kémprogramok számos politikai és katonai célpontot, valamint gazdasági társaságot támadtak meg az Egyesült Államokban és európai országokban. A G Data szakértői szerint a legveszélyesebb kártevők ugyanazoktól a fejlesztőktől származnak.

 

A német biztonsági cég összesen 46 mintát hasonlított össze az Agent.BTZ, a ComRAT és az Uroburos kártevőkből annak érdekében, hogy jobban megismerjék azok működését

 

Az elemzés eredményeként a G Data szakemberei hét évre visszamenően tárták fel a kártevők fejlődését, akkortól, amikor 2008-ban az Agent.BTZ megfertőzte a Pentagon számítógépeit, odáig, amikor 2014-ben az Uroburos bekerült a belga és a finn külügyminisztériumok hálózatába.

 

Az elemzők hasonlóságokat és megegyező kódsorokat tártak fel a három kártevőcsalád működésében, és megállapították, hogy az Agent.BTZ, valamint utódjai, a ComRAT és az Uroburos is feltehetően ugyanazoktól a készítőktől származik.

 

cobra_01_ascii_time_en_v1.png

 Ehhez a csoporthoz csatlakozik a napokban felfedezett, rendkívül összetett kártevő is, a Project Cobra fejlesztési keretrendszer segítségével létrehozott Carbon System. A kémprogram az Agent.BTZ kártevő újraszerkesztése, és feltehetően az Uroburos fejlesztési vonal elődje. A Carbon System kártevőt készítői úgy tervezték meg, hogy gazdasági társaságok, kutatóintézetek és állami szervezetek nagyméretű hálózataiban is működni tudjon.

 

Az Uroburosszal ellentétben nem kernelszinten, hanem a felhasználói réteg szintjén hajtja végre a támadást. A Carbon System moduláris felépítésű, ami lehetővé teszi a támadók számára, hogy a megfertőzendő gépekre különböző kódokat töltsenek le, és így testre szabják a támadást.

 

csm_g_data_it-security-barometer_9d4bf51390.png

 A G Data kutatói biztosak abban, hogy mind a négy kártevő aktív marad a közeljövőben, és fejlesztőik még több támadást fognak elkövetni. Elemzésük eredményét az alábbi linkeken hozták nyilvánosságra:

 

1. https://blog.gdatasoftware.com/blog/article/analysis-of-project-cobra.html

2. https://blog.gdatasoftware.com/blog/article/evolution-of-sophisticated-spyware-from-agentbtz-to-comrat.html

3. https://blog.gdatasoftware.com/blog/article/the-uroburos-case-new-sophisticated-rat-identified.html

4. https://blog.gdatasoftware.com/blog/article/com-object-hijacking-the-discreet-way-of-persistence.html

5. https://blog.gdatasoftware.com/blog/article/uroburos-highly-complex-espionage-software-with-russian-roots.html

6. https://blog.gdatasoftware.com/blog/article/uroburos-deeper-travel-into-kernel-protection-mitigation.html

Tetszett a bejegyzés? Lájkolj minket a Facebookon!

Címkék: kártevő G Data

13 hozzászólás

A bejegyzés trackback címe:

https://virusirto.blog.hu/api/trackback/id/tr327113495

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

huKKK 2015.01.27. 11:19:16

Hogyan lehet védekezni?

gaboraron 2015.01.27. 16:12:03

@huKKK: Víruskeresővel.
Az Uroburos/Turla fenyegetést már rég kezeli a legtöbb víruskereső. A Carbon System moduljainak ugyanazok az MD5sum-jai, mint az Urobouros 2014 augusztus környékén megjelent verziójának. Tehát, ha van vírusvédelmed, akkor jó eséllyel védett vagy ez ellen a fenyegetés ellen. DE ha a víruskergetődben van md5sum alapú application control, akkor az md5sum-okat felveszed bele, és blokkolást állítasz be. Így akkor is védett leszel, ha a víruskeresőd még nem kezeli ezt a fajta fenyegetést. A G-Data blogban megtalálod az MD5Sum-okat.

no_successful2 2015.01.27. 16:41:56

Ezek csak windowsra vannak megírva, vagy linux alapú szerverekre is ?

gaboraron 2015.01.27. 16:46:36

@no_successful2: Mármint a vírusok, vagy a víruskeresők?

Józsi01 2015.01.27. 16:54:48

Persze véletlenül sem az uSSa és a kiválasztotti MOszat!!!!!
Amikor sorra perlik és bukják a pereket a feljelentők, mert az uSSa-ban liberáldemokratúra van.

Természetesen nem azokról írtok akik még Merkel telefonját is folyamatosan lehallgatták. Persze ez is azördögmagaputyin, természetesen hű csatlósa azorbán a hibás.

Gratula!!!!

Online Távmunkás · http://onlinetavmunka.blog.hu 2015.01.27. 17:36:07

Az oroszok az élvonalban vannak, de nem biztos, hogy ők kémkednek legtöbbet. Szoros a verseny az USA-val, de csak ők nem mindig vírusokat alkalmaznak.

@no_successful2: Igen, Linuxot is fertőz, a közhiedelemmel ellentétben.

@gaboraron: Aztán átírnak egy sort a kódban és a víruskeresőd semmit se ér...

huKKK 2015.01.27. 22:09:22

@gaboraron:
Azt a pletykát hallottam, hogy nincs is szükség víruskeresőre, elég a windows 7-8-as tűzfala.
Állítólag maguk a víruskeresők vonzzák a vírusokat a gépekre, mivel a vírusnak rajtuk kéne áttörni, hogy hatni tudjon.
Némely víruskeresők néha úgy tesznek mintha elfogtak volna valamit, pedig nem is, csak kell a reklám, ezért beleprogramoznak kamuelfogásokat, hogy a felhasználó büszke lehessen rájuk, milyen fantasztikus vétel volt - mondják a kritikusok.

Én nem dőlök be ezeknek a kacsáknak.
Kéne?

gaboraron 2015.01.28. 13:05:54

@Online Távmunkás:
Szia.
Igen, így van. A víruskergetés mindig le van maradva egy lépéssel a vírusok mögött. Lehet emelni a heurisztikus keresés szintjét is, és lehet tenni egyéb lépéseket, de 100% biztonság soha nem lesz. A hash/MD5 alapú keresés/tiltás a Zero Day riasztásoknál szokott jól jönni általában.

G Data 2015.01.28. 13:41:11

@huKKK:

Kedves HuKKK,

Ez egy butaság. Egyetlen egy víruskereső sem engedhet meg magának ilyen viselkedést. Az ingyenes víruskeresők saját maguk fizetős verzióját reklámozzák a gépen, ez igaz. De kamuelfogásokat nem csinál senki.

A felhasználók sokszor azt gondolják, hogy a vírusirtó szoftverek csak azért adnak riasztást torrent fájlokra, mert megegyezést kötöttek a szoftverek gyártóival.

Ezzel ellentétben az igazság az, hogy a kártevők készítői sokszor csomagolják a vírusokat a torrent törésekhez, és az is igaz, hogy sokszor a torrentek úgy működnek, mint a kártevők szoktak: kiolvassák például a gép adatait.

Szóval elsősorban a vírusirtóban kell bízni - a neves gyártók termékeiben. (Van körülbelül 8-10 neves gyártó)

gaboraron 2015.01.28. 15:52:32

@huKKK:
No, ha nincs víruskergetőd, akkor nézz be a c:\users\felhasznalonev\appdata\local\temp\ mappába, és ha látsz ott olyan xxxxxxxx.exe-t (az x-ek helyén tetszőleges karakterek, vagy számok), aminek egy kis kék hagyma az ikonja, akkor szerencsésen hozzájutottál ehhez a vírushoz. A korábbi verzióját emiatt nevezte a Kaspersky Labs "Onion Ransomware"-nek. Ezt a vírust megkapni spam e-mail-ban lehetett, a levél tárgya "Fax transmission report:...." volt. A mellékletét megnyitva fel is jött a képernyőn valami, közben a háttérben a spam-ben levő downloader program leszedte és telepítette a gépedre a tényleges kártevőt.

gaboraron 2015.02.02. 15:49:52

@G Data:
Szia!

Az új Ransomware/Cryptolocker kártevőkről nem akarsz csinálni egy bejegyzést? :)

G Data 2015.02.02. 16:07:43

@gaboraron:

Hát, ha szerintetek kellene, akkor lehet. :) A héten szerintem lehet, hogy lesz rá idő.

Értesülj az új átverésekről a Facebookon!

Címkék

adatbiztonság (1) adathalászat (10) adatvédelem (36) Adobe (1) alkalmazás (13) amazon (1) android (36) android market (1) anonymus (1) apple (8) arcfelismerés (2) arcfelismerési technológia (1) átverés (41) Audi (1) bank (1) BankGuard (1) bankkártya (4) biometrikus azonosító (1) bitcoin (1) biztonság (21) blizzard (1) botnet (1) bouncer (1) celeb (1) cenzúra (1) chat (1) Chrome (1) cnn (1) csalás (8) csoport (1) cyberbullying (1) ddos (1) dnt (1) domén (1) e-book (1) e-mail (1) email (4) emoji (1) engedély (1) esemény (1) EU (1) europol (3) Facebook (10) facebook (129) Facebook hangulatjelek (1) fbi (3) felhő (1) felmérés (17) féreg (2) fiók (1) Flame (1) foci (1) frissítés (1) gdata (1) geotagging (2) Gmail (1) google (9) gps (1) gyermek (2) G Data (35) G data (3) g data (6) G Data BankGuard (1) G Data jelszómenedzser (1) G Data TotalProtection (1) hack (2) hacker (36) híresség (1) hoax (1) Hotmail (1) hozzáférés (2) hummer (1) idővonal (2) információbiztonság (2) instagram (4) intel (1) internet (4) internetbiz (1) internetbiztonság (62) ios (1) iOS (2) ipari kémkedés (1) jelszó (2) Jelszókezelő (1) jogok (3) kártevő (47) katasztrófa (1) kémkedés (1) kémprogram (1) keresés (1) kéretlen program (1) kiberbűnözés (2) kiberháború (3) kínai közösségi média (1) komment (1) közösségi média (1) közösségi portál (1) kriptobányászat (1) lájk (1) like (4) Linux (1) linux (1) mac (1) macintosh (1) maya (1) média (1) megosztás (6) metaadat (1) Microsoft (2) mobiltelefon (5) napló (1) Nigéria (3) okosóra (1) okostelefon (2) olimpia (1) online (3) online bankolás (1) Online bankolás (1) Ötven Cent Csoport (1) password (1) phising (1) Pokémon Go (1) Popcorn TIme (1) poszt (1) ransomware (13) rendőrség (2) rootkit (1) sérülékenység (9) Skype (1) skype (2) smart tv (5) spam (10) személyi (3) születésnap (1) szülői felügyelet (1) tartalomszűrés (1) tartózkodási hely (1) ThyssenKrupp (1) törlés (1) torrent (3) trójai (19) twitter (1) update (1) usb (5) vásárlás (1) védelem (2) végítélet (1) videó (1) vírus (2) virusirtó (1) vírusirtó (12) VirusTotal (1) visszaélés (1) Vista (1) vízjel (1) vodafone (1) warcraft (1) Weibo (1) whatsapp (1) wifi (3) Windows (2) windows (1) wordpress (1) World of Warcraft (1) WoW (1) Yahoo (1) Yahoo! (1) zaklatás (1) Zeus (1) zsaroló kártevő (5) Címkefelhő
süti beállítások módosítása