Змія (комп'ютерний хробак)

Snake // Uroborus // Turla
Тип	комп'ютерний хробак, руткіт, бекдор
Автор	невідомий, пов'язують з російськими розвідувальними підрозділами
Перший випуск	перша компіляція - 2006 рік,; помічений - 2010 рік
Операційна система	32- та 64- бітні версії Microsoft Windows

У Вікіпедії є статті про інші значення цього терміна: Змія (значення).

У Вікіпедії є статті про інші значення цього терміна: Уроборос (значення).

Змія або уроборос — комп'ютерний хробак.

Дослідники британської фірми BAE Systems Applied Intelligence зафіксували в 2013—2014 роках сплеск виявлених випадків зараження інформаційних систем приватних підприємств та державних установ України комп'ютерним хробаком (з руткітом), який вони назвали «Змія» (англ. snake). Дослідники з німецької фірми GData назвали цього хробака «уроборос», англ. uroborus (також англ. ouroborus — гадюка в грецькій міфології, або англ. sengoku та англ. snark). На думку дослідників обох фірм, цей хробак можливо пов'язаний та був створений на основі хробака Agent.BTZ, який в 2008 році вразив інформаційні системи Центрального Командування ЗС США^[1]^[2]^[3].

Назва

Уроборос. Зображення з алхімічного трактату 1478 року. Автор — Теодор Пелеканос

Даний зразок шкідливого програмного забезпечення отримав різні назви від різних компаній, зокрема, він відомий як:

«Уроборос», англ. uroborus, також англ. ouroborus — гадюка в грецькій міфології
англ. Sengoku та англ. snark)
англ. Turla^[4].

Характеристики

Фахівці із CERT-UA виявили кілька особливостей вірусу Uroborus:^[5]

складність програмного коду (що обумовлює можливість його розроблення із залученням значної кількості людських, технічних і фінансових ресурсів (зокрема, це можуть бути науково-дослідні установи, ІТ-корпорації, державні установи, спецслужби тощо);
наявність літер кирилиці у програмному коді;
схожість за низкою характеристик (імена файлів, ключі шифру, основні можливості тощо) із троянською програмою Agent.BTZ, яку було знайдено в інформаційних системах ЗС США в 2008 році, що призвело до повної відмови ЗС США від використання USB-носіїв (через які вона поширювалася в автоматизованих системах військового призначення);
географія поширення вірусу.

Зважаючи на зазначені особливості, фахівці CERT-UA припускають, що до вироблення вірусу причетні іноземні спецслужби, а сам він очевидно пов'язаний зі зростаючою (листопад 2013 — лютий 2014 року) напруженістю в українсько-російських відносинах^[5]^[6]. Фахівці німецької контррозвідки в щорічному звіті за 2015 рік зазначають, що через велику складність та гнучкість даного зразка шкідливого ПЗ, спосіб його застосування та цілі, проти яких його використано, а також інші ознаки, виявлені фахівцями з комп'ютерної безпеки, можна говорити про його походження та використання російською розвідкою^[7].

«Уроборос» здатен поширюватись різними способами, зокрема, через так звані атаки Watering-Hole. Його складно виявляти, він працює автономно, та самостійно поширюється в інфікованих мережах. Враженими можуть бути навіть комп'ютери без прямого підключення до Інтернет^[7].

Застосування

Російсько-українська війна

Докладніше: Російсько-українська кібервійна

В інтернет-протистоянні Росії з Україною проти України вперше було застосовано троянські програми, ключовою серед яких став вірус Uroburos. З одного боку, завданням цього вірусу було формування бот-мережі із заражених комп'ютерів та отримання повноцінного доступу до їх наповнення, а з іншого — викрадення інформації з цих комп'ютерів. Об'єкти атаки також, вочевидь, були обрані не випадково — вебресурси органів державної влади (в тому числі силових структур), засобів масової інформації, фінансових установ, великих промислових підприємств^[6].

Дослідники британської фірми BAE Systems Applied Intelligence зафіксували в 2013—2014 роках сплеск виявлених випадків зараження інформаційних систем приватних підприємств та державних установ України комп'ютерним хробаком (з руткітом), який вони назвали «Змія» (англ. snake). Дослідники з німецької фірми GData назвали цього хробака «уроборос», англ. uroborus (також англ. ouroborus — гадюка в грецькій міфології, або англ. sengoku та англ. snark). На думку дослідників обох фірм, цей хробак можливо пов'язаний та був створений на основі хробака Agent.BTZ, який в 2008 році вразив інформаційні системи Центрального Командування ЗС США^[1]^[2]^[3].

Пік виявлення атак із використанням хробака «уроборос» збігся з розвитком масових протестів. Протягом січня 2014 року було зафіксовано 22 випадки інфікування інформаційних систем, при цьому протягом 2013 року «уроборос» був виявлений не більше 8 разів. В Україні зловмисники із застосуванням «уроборос» отримували повний доступ до вражених систем. На думку британських експертів, є всі підстави вважати, що за «уроборос» стоять спецслужби Російської Федерації^[8].

За даними CERT-UA основними відомими станом на березень 2014 року об'єктами ураження «уроборос» є:

вебресурси органів державної влади (в тому числі силових структур);
вебресурси засобів масової інформації;
вебресурси фінансових установ;
вебресурси великих промислових підприємств.

Фахівці CERT-UA не виключають, що головною метою Uroborus є порушення фукціонування об'єктів інформаційної інфраструктури України для викрадення конфіденційної інформації. Ретельна підготовка, прихованість дій, спрямованість кібератак (США -2008 рік, Україна — 2014 рік), а також залучення значних ресурсів — все це опосередковано свідчить про причетність іноземних спецслужб. В цьому контексті CERT-UA та деякі українські спеціалісти з інформаційної безпеки вбачають основним мотивом ініціатора кібератак необхідність встановлення прихованого контролю за визначеними об'єктами для подальшого спостереження за інформаційним обміном з власної території^[5].

Німеччина

«Уроборос» був застосований не лише проти України, а й проти інших країн. Зокрема, дане ПЗ згадане в річному звіті німецької контррозвідки за 2015 рік. Німецька контррозвідка зазначила, що як і раніше, в 2015 році російська розвідка використовувала «змію» (він же — «Turla») проти установ по всьому світу. В Німеччині жертвами кібератак з його застосуванням стали посольства, заклади вищої освіти, дослідницькі інститути, та приватні підприємства^[7].

Примітки

↑ ^а ^б The Snake Campaign. BAE Systems. 2014. Архів оригіналу за 22 липня 2020. Процитовано 1 липня 2016.
↑ ^а ^б John E Dunn (7 березня 2014). Invisible Russian cyberweapon stalked US and Ukraine since 2005, new research reveals. Techworld. Архів оригіналу за 13 квітня 2016. Процитовано 10 травня 2016.
↑ ^а ^б Uroburos. Highly complex espionage software with Russian roots (PDF). G Data SecurityLabs. 2014-02. Архів оригіналу (PDF) за 7 жовтня 2020. Процитовано 1 липня 2016.
↑ Symantec Security Response (07 Aug 2014). Turla: Spying tool targets governments and diplomats. Cyberespionage group uses sophisticated malware to target former Eastern Bloc countries. Symantec. Архів оригіналу за 19 січня 2022. Процитовано 1 липня 2016.
↑ ^а ^б ^в Зараження вірусом Uroburos. CERT-UA. 19/03/2014. Архів оригіналу за 3 березня 2018. Процитовано 4 липня 2016.
↑ ^а ^б Д. В. Дубов (2014). Розділ 4. Забезпечення національних інтересів України в глобальному та національному кіберпросторах. Кіберпростір як новий вимір геополітичного суперництва. Київ: Національний інститут стратегічних досліджень. ISBN 978-966-554-240-7.
↑ ^а ^б ^в Bundesamt für Verfassungsschutz (ред.). Spionage und sonstige nachrichtendienstliche Aktivitäten. Verfassungsschutzbericht 2015. Bundesministerium des Innern. ISSN 0177-0357. Архів оригіналу за 30 березня 2018. Процитовано 4 липня 2016.
↑ Майя Яровая (11 березня 2014). Британский эксперт: Россия развязала против Украины кибервойну. AIN.UA. Архів оригіналу за 1 травня 2016. Процитовано 11 травня 2016.

Література

The Snake Campaign. BAE Systems. 2014. Архів оригіналу за 22 липня 2020. Процитовано 1 липня 2016.
Uroburos Highly complex espionage software with Russian roots (PDF). G Data SecurityLabs. 2014. Архів оригіналу (PDF) за 7 жовтня 2020. Процитовано 1 липня 2016.
Kaspersky (7 серпня 2014). The Epic Turla Operation. Solving some of the mysteries of Snake/Uroburos. Securelist. Архів оригіналу за 31 травня 2016. Процитовано 11 серпня 2016.
The Uroburos case: new sophisticated RAT identified. G Data Security Blog. листопад 2014. Архів оригіналу за 18 серпня 2016. Процитовано 11 серпня 2016.
Kurt Baumgartner, Costin Raiu (8 грудня 2014). The ‘Penquin’ Turla. A Turla/Snake/Uroburos Malware for Linux. Securelist. Архів оригіналу за 20 листопада 2015. Процитовано 11 серпня 2016.

Див. також

Посилання

Turla spying tool targets governments and diplomats [Архівовано 19 січня 2022 у Wayback Machine.], Symantec
Зараження вірусом Uroburos [Архівовано 3 березня 2018 у Wayback Machine.], CERT-UA
TR-25 Analysis — Turla / Pfinet / Snake/ Uroburos [Архівовано 23 серпня 2016 у Wayback Machine.] circl.lu

Це незавершена стаття про програмне забезпечення.
Ви можете допомогти проєкту, виправивши або дописавши її.

Портал «Програмування» Портал «Інформаційні технології»

[:0-1] а ^б The Snake Campaign. BAE Systems. 2014. Архів оригіналу за 22 липня 2020. Процитовано 1 липня 2016.

[tw.7-2] а ^б John E Dunn (7 березня 2014). Invisible Russian cyberweapon stalked US and Ukraine since 2005, new research reveals. Techworld. Архів оригіналу за 13 квітня 2016. Процитовано 10 травня 2016.

[:1-3] а ^б Uroburos. Highly complex espionage software with Russian roots (PDF). G Data SecurityLabs. 2014-02. Архів оригіналу (PDF) за 7 жовтня 2020. Процитовано 1 липня 2016.

[4] Symantec Security Response (07 Aug 2014). Turla: Spying tool targets governments and diplomats. Cyberespionage group uses sophisticated malware to target former Eastern Bloc countries. Symantec. Архів оригіналу за 19 січня 2022. Процитовано 1 липня 2016.

[cert.19-5] а ^б ^в Зараження вірусом Uroburos. CERT-UA. 19/03/2014. Архів оригіналу за 3 березня 2018. Процитовано 4 липня 2016.

[dubov-6] а ^б Д. В. Дубов (2014). Розділ 4. Забезпечення національних інтересів України в глобальному та національному кіберпросторах. Кіберпростір як новий вимір геополітичного суперництва. Київ: Національний інститут стратегічних досліджень. ISBN 978-966-554-240-7.

[bfs.2015-7] а ^б ^в Bundesamt für Verfassungsschutz (ред.). Spionage und sonstige nachrichtendienstliche Aktivitäten. Verfassungsschutzbericht 2015. Bundesministerium des Innern. ISSN 0177-0357. Архів оригіналу за 30 березня 2018. Процитовано 4 липня 2016.

[8] Майя Яровая (11 березня 2014). Британский эксперт: Россия развязала против Украины кибервойну. AIN.UA. Архів оригіналу за 1 травня 2016. Процитовано 11 травня 2016.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

п о р Зловмисне програмне забезпечення
Інфекційне шкідливе ПЗ	Комп'ютерний вірус Мережевий хробак Троянська програма Завантажувальний вірус Хронологія комп'ютерних вірусів та черв'яків Стелси
Методи приховування	Троянський кінь Руткіт Бекдор Комп'ютер-зомбі Атака «людина посередині» Атака «людина в браузері» Атака «людина в мобільному»
Шкідливі програми для прибутку	Adware Privacy-invasive software^[en] Spyware Ботнет Keylogger Бот Фальшивий антивірус Ransomware Формграббер Вебзагрози^[en]
За операційною системою	Шкідливе ПЗ для Linux Віруси для Palm OS Макровіруси Мобільний вірус
Захист	Антивірусне програмне забезпечення Defensive computing Безпека мережі Брандмауер Система виявлення вторгнень Запобігання витоків інформації Хронологія антивірусів
Контрзаходи	Моніторингові програмні продукти Honeypot