G Data découvre Uroburos, un logiciel espion d'origine russe

Les experts G Data ont découvert un code malveillant dont le design et le niveau de complexité laissent à penser qu’il est probablement l’œuvre de services secrets. Son but est de dérober des informations confidentielles de grands réseaux. Le rootkit appelé Uroburos travaille en autonomie dans les réseaux infectés. Selon G Data un tel programme n’est réalisable qu’avec un important investissement humain. Plusieurs détails techniques, tels que le nom des fichiers, le cryptage, ou encore le comportement du programme, montrent qu’Uroburos provient d’une source russe, la même que celle ayant mené une cyberattaque contre les USA en 2008 avec le programme « Agent.BTZ ».

Decription d’Uroburos

Uroburos est un rootkit qui comporte deux fichiers, un pilote et un fichier système crypté. Avec l’aide de ce programme malveillant, le cybercriminel prend le contrôle du PC infecté. Il exécute alors n’importe quel programme et dissimule son activité. Uroburos est en outre capable de voler des données et d’interrompre le trafic de données sur le réseau. Grâce à sa structure modulaire, le cybercriminel peut développer le programme pour d’autres utilités. G Data classe ce rootkit dans un haut niveau de dangerosité compte tenu de sa flexibilité et de sa modularité.

Une complexité technique œuvre des services secrets

La complexité et le design d’Uroburos induisent un développement sophistiqué et coûteux. Selon G Data, ses auteurs ne sont pas des cybercriminels, mais plus probablement des services secrets.
Uroburos est dimensionné pour les grands réseaux tels que les administrations et les grandes entreprises. Le programme malveillant se diffuse de façon autonome et travaille en mode point à point. Les ordinateurs infectés communiquent ensemble via un réseau fermé. Le code n’a ainsi besoin que d’un seul ordinateur connecté à Internet pour se répandre dans le réseau. Les documents et autres données présents sur les ordinateurs infectés sont transmis sur des serveurs distants. Uroburos infecte les systèmes Microsoft 32 bits et 64 bits.

Russie vs États unis ?

Des détails techniques (le nom des fichiers, le cryptage, le comportement du programme) indiquent que les attaquants ayant ciblé les États-Unis en 2008 avec le programme malveillant « Agent.BTZ » ne sont pas étrangers à cette nouvelle attaque. En effet, Uroburos vérifie si l’Agent.BTZ est déjà installé sur le système, et dans ce cas ne s’active pas. Autre indice : les développeurs des deux programmes malveillants utilisent la langue russe. Le fonctionnement d’Uroburos montre enfin que le particulier n’est pas la cible de l’attaque. Les efforts investis impliquent des cibles telles que les multinationales, les administrations étatiques, les services de renseignements, ou d’autres grandes organisations.

Un code actif depuis plus de trois ans

Le rootkit Uroburos est un programme malveillant très avancé et ancien. Le plus ancien pilote détecté par l’analyse a été compilé en 2011.

Un vecteur d’infection qui reste à définir

À l’heure actuelle, les moyens utilisés par les attaquants pour infecter leurs cibles avec Uroburos ne sont pas définis. De nombreuses méthodes restent possibles, telles que l’hameçonnage, l’infection dite « Drive-by-download » ou encore l’attaque par ingénierie sociale.

Que signifie Uroburos?

Le programme malveillant a été baptisé « Uroburos » par G Data car ce nom est inscrit à plusieurs endroits dans les fichiers de pilote du code malveillant – Urobur()sGotyOu#. Dans la mythologie grecque, Uroburos est le symbole d’un serpent ou un dragon qui se mord la queue.

Corinne
Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

More from author

Restez connectez !

Nous diffusons une Newsletter mensuelle incluant des dossiers thématiques, interviewes et investigations réalisées par nos journalistes indépendants.
Vous souhaitez recevoir notre lettre d’informations?