IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Uroboros : un rootkit développé par les services secrets russes ?


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 382
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 382
    Points : 196 416
    Points
    196 416
    Par défaut Uroboros : un rootkit développé par les services secrets russes ?
    Uroboros : un rootkit développé par les services secrets russes ?
    le malware serait en activité depuis 2011


    G Data, spécialiste allemand en sécurité, a découvert un malware relativement complexe baptisé Uroboros. Ce nom rappellera sans doute le symbole égyptien représentant un dragon ou un serpent qui essaye de se mordre la queue trouvé dans son code. Il est dû à une chaîne de caractère "Ur0bUr()sGotyOu#" qui apparaît dans plusieurs fichiers, comme une signature. De plus les chercheurs ont identifié d'autres références au serpent/dragon mythologique dans le code du rootkit comme "inj_snake_Win32.dll", "inj_snake_Win64.dll", "snake_alloc" ou "snake_free".

    «Uroburos est un rootkit de pointe qui contamine les réseaux depuis au moins 2011 et dérobe discrètement des données après avoir installé un réseau P2P malveillant au sein d'objectifs de haut niveau» expliquent les chercheurs. Il comporte en tout et pour tout deux fichiers. Le premier est un pilote permettant son fonctionnement sur tout terminal disposant d’un système d’exploitation de Microsoft en 32 ou 64 bits, et l’autre est un fichier système chiffré.

    G Data répertorie le code du malware comme étant « hautement dangereux » car il possède une structure modulaire qui lui permet d’être adapté à distance par les hackers en fonction de leurs besoins. Le rootkit peut donc subir des mutations pour effectuer des actions particulières et adaptées à ses cibles.

    Il adopte cependant un comportement étrange : avant de s’exécuter, il recherche la présence d’un autre malware, Agent.BTZ. Si celui-ci est détecté sur la même machine, alors Uroburos reste inactif. Pour rappel, Agent.BTZ, un programme malveillant antérieur, utilisé notamment en 2008 lors d’une attaque informatique contre le Pentagone, est fortement soupçonné d’avoir été mis au point par la Russie. Autre indice et pas des moindre : Uroburos et Agent.BTZ utilisent tous les deux comme langue le Russe (RT_VERSION ru_RU). De plus, les chercheurs estiment que le fonctionnement d’Uroburos montre que le particulier n’est pas la cible de l’attaque.

    «C’est un virus très complexe, ce qui implique un développement sophistiqué et coûteux. Ses auteurs ne sont pas des cybercriminels mais des services secrets.» explique Jérôme Granger de G Data.

    À l’heure actuelle, les moyens utilisés par les attaquants pour infecter leurs cibles avec Uroburos ne sont pas définis. De nombreuses méthodes restent possibles, telles que l’hameçonnage, l’infection dite « Drive-by-download » ou encore l’attaque par ingénierie sociale. G Data n’a pas voulu fournir d’indication sur l’ampleur de la propagation d’Uroboros ni sur le nom des entreprises infectées.

    Source : Rapport G Data (au format PDF)

    Et vous ?

    Qu'en pensez-vous ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre averti
    Profil pro
    Inscrit en
    Juillet 2010
    Messages
    80
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juillet 2010
    Messages : 80
    Points : 322
    Points
    322
    Par défaut
    2 questions de newbie :

    Citation Envoyé par Stéphane le calme Voir le message
    Ce nom est dû au symbole égyptien représentant un dragon ou un serpent qui essaye de se mordre la queue trouvé dans son code.
    On fait comment pour planquer un "symbole égyptien représentant un dragon ou un serpent qui essaye de se mordre la queue" dans le code?

    Citation Envoyé par Stéphane le calme Voir le message
    Agent.BTZ et Uroburos utilisent tous les deux … le russe dans les commentaires de codage. De
    Des commentaires qui se trouvent dans un binaire apres compilation? Je ne sais pas trop comment cela se fait (compilation avec trace?)...
    Pour une agence de l'ombre ça fait pas tres pro non?

  3. #3
    Membre extrêmement actif
    Homme Profil pro
    Graphic Programmer
    Inscrit en
    Mars 2006
    Messages
    1 537
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Graphic Programmer
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2006
    Messages : 1 537
    Points : 3 909
    Points
    3 909
    Par défaut
    ou justement un bon moyen d'incriminer les russes en faisant style oups on à laissé des commentaires. et s'il y a commentaire je doute que ce soit un binaire.

  4. #4
    Membre extrêmement actif
    Avatar de benjani13
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    Février 2010
    Messages
    615
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Consultant en sécurité

    Informations forums :
    Inscription : Février 2010
    Messages : 615
    Points : 2 824
    Points
    2 824
    Par défaut
    Citation Envoyé par kiprok Voir le message
    Des commentaires qui se trouvent dans un binaire apres compilation? Je ne sais pas trop comment cela se fait (compilation avec trace?)...
    Pour une agence de l'ombre ça fait pas tres pro non?
    Je me demandais la même chose.

    Ou alors ils ont récupéré du code qui trainait sur un serveur de C&C?

  5. #5
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Inscrit en
    Avril 2013
    Messages
    1 476
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2013
    Messages : 1 476
    Points : 4 805
    Points
    4 805
    Billets dans le blog
    6
    Par défaut
    Oui l'histoire des commentaires dans les binaire c'est zarb
    à moins que ce soit fait avec un compilateur d'un langage qui les laissent dans un binaire,
    personne ne compile pour avoir les commentaires dans les binaires
    Rien, je n'ai plus rien de pertinent à ajouter

  6. #6
    Expert confirmé Avatar de DonQuiche
    Inscrit en
    Septembre 2010
    Messages
    2 741
    Détails du profil
    Informations forums :
    Inscription : Septembre 2010
    Messages : 2 741
    Points : 5 485
    Points
    5 485
    Par défaut
    Je me suis posé les mêmes questions et j'ai donc été voir.
    * Il n'y a pas de dessin dans le code. Il y a en revanche une chaîne de caractères "Ur0bUr()sGotyOu#" dans plusieurs fichiers qui semble avoir été mise là à dessein, comme une signature.
    * Il n'y a pas de commentaire en russe. En revanche la page de code de la version des binaires (ressource rt_version) est ru-RU.

  7. #7
    Membre averti
    Profil pro
    Inscrit en
    Juillet 2010
    Messages
    80
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juillet 2010
    Messages : 80
    Points : 322
    Points
    322
    Par défaut
    Merci pour les reponses DonQuiche.

    Pour la signature je peux comprendre (pratique pour se faire passer pour un groupe de hackeurs "classique" en mal de notoriete) par contre l'embarquement de ressources russe ne me parait pas tres malin...

  8. #8
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Janvier 2007
    Messages
    10 191
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 51
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Janvier 2007
    Messages : 10 191
    Points : 28 070
    Points
    28 070
    Par défaut
    Citation Envoyé par kiprok Voir le message
    Merci pour les reponses DonQuiche.

    Pour la signature je peux comprendre (pratique pour se faire passer pour un groupe de hackeurs "classique" en mal de notoriete) par contre l'embarquement de ressources russe ne me parait pas tres malin...
    Il y a toujours l'embarquement d'au moins une page de ressource dans tous les binaires executable compatible windows (je ne connais pas les autres systèmes), Par défaut c'est la page de ressource qui correspond au système de compilation qui est embarquée. Il peut y en avoir automatiquement une autre si le edi/compilateur n'est pas de la même langue que le système, mais ça dépend des compilateurs.
    --- Sevyc64 ---

    Parce que le partage est notre force, la connaissance sera notre victoire

  9. #9
    Membre averti
    Profil pro
    Inscrit en
    Juillet 2010
    Messages
    80
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juillet 2010
    Messages : 80
    Points : 322
    Points
    322
    Par défaut
    Citation Envoyé par sevyc64 Voir le message
    Il y a toujours l'embarquement d'au moins une page de ressource dans tous les binaires executable compatible windows (je ne connais pas les autres systèmes), Par défaut c'est la page de ressource qui correspond au système de compilation qui est embarquée. Il peut y en avoir automatiquement une autre si le edi/compilateur n'est pas de la même langue que le système, mais ça dépend des compilateurs.
    J'entends bien mais de choisir un autre systeme de compilation (meme langue que la cible par exemple) aurait pu être plus malin non? Je trouve ça un peu curieux pour des pro qui souhaitent passer incognito car ça pointe facilement vers les Russes...

    A moins que cela soit voulu et assumé pour montrer que les Russes aussi sont equipés en "cyber attaquant".

Discussions similaires

  1. Réponses: 3
    Dernier message: 16/03/2014, 14h04
  2. Russie : retour à la machine à écrire pour les services secrets
    Par Hinault Romaric dans le forum Actualités
    Réponses: 24
    Dernier message: 24/07/2013, 05h34
  3. Réponses: 1
    Dernier message: 11/12/2007, 18h34

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo