17 kwietnia 2018, 09:00:IoT Poland Show - Centrum Targowo-Kongresowe, Marsa 56c, 04-242 Warszawa, Polska

Rurktar – nowe oprogramowanie szpiegujące?

Rurktar - nowe oprogramowanie szpiegujące.

Opracowanie nowego oprogramowania zawsze wymaga czasu. Nie wszystkie funkcje dostępne w produkcie docelowym są wdrażane od samego początku. Nie dziwi więc fakt, że tak samo sytuacja wygląda w przypadku złośliwego oprogramowania.

Jeden z takich nietypowych plików przykuł uwagę pracowników G DATA Security Labs i postanowili przyjrzeć mu się z bliska. A o efektach „badań” przeczytać można poniżej.

Czytaj także: HBO zhakowane. Wyciekną kolejne odcinki Gry o Tron?

Na czyje zlecenie stworzono to oprogramowanie?

Nowemu narzędziu szpiegowskiemu nadano nazwę “Rurktar”, co może stanowić pewną wskazówkę odnośnie kraju jego pochodzenia. Prawdopodobnie zostało stworzone bowiem w Rosji. Istnieje kilka dowodów na potwierdzenie tej tezy: niektóre z wewnętrznych powiadomień o błędach są w języku rosyjskim, a adresy IP wykorzystywane do zarządzania oprogramowaniem szpiegowskim na odległość zlokalizowane są w Rosji.

Nie ma stuprocentowej pewności, czy Rurktar to dzieło pojedynczej osoby, czy całego zespołu. Wiemy jednak, że jako katalog roboczy wykorzystywany jest folder w Dropboxie i istnieje kilka wyjaśnień dla tej sytuacji. Na przykład współpracuje tu kilku programistów, którzy scalają swoją pracę za pośrednictwem Dropboxa. Może on też być wykorzystywany przez pojedynczą osobę jako uproszczony i bardzo podstawowy system przechowywania wersji – niektóre konta Dropbox oferują możliwość odtworzenia poprzednich wersji pliku, dlatego też można go używać do śledzenia zmian, co jednak z punktu widzenia programisty nie stanowi idealnego rozwiązania. Należy także oczywiście wziąć pod uwagę możliwość wykorzystywania Dropboxa do backupu.

Czytaj także: Związek zawodowy z ZUS na liście ostrzeżeń KNF-u

Cele Rurktar

Mimo że nie wszystkie funkcje tego oprogramowania szpiegującego zostały w pełni opracowane, można z dużą dozą pewności stwierdzić, że Rurktar będzie wykorzystywany do precyzyjnie ukierunkowanych operacji szpiegowskich. Funkcje, które zostały już wdrożone umożliwiają rozpoznanie infrastruktury sieci, pozwalają sprawdzić, czy konkretne urządzenie znajduje się w zasięgu, czy też nie, umożliwiają również wykonywanie zrzutów ekranu, a nawet pobieranie konkretnych plików z zainfekowanego urządzenia.

Możliwe jest także usuwanie plików lub ich wgrywanie do urządzenia. Wszystko to przywodzi na myśl szpiegostwo przemysłowe – opisane do tej pory funkcje nie znajdują praktycznego zastosowania w takich zakrojonych na szeroką skalę operacjach, jak ataki złośliwego oprogramowania typu ransomware.

Czytaj także: Zamach na wolny Internet? Rosja banuje VPN

Rozprzestrzenianie się

Z uwagi na fakt, że oprogramowanie to jest nadal w fazie tworzenia i nie funkcjonuje na powszechną skalę, nie zdążyło się na razie za bardzo rozprzestrzenić. Tych kilka adresów IP, które do tej pory powiązano z oprogramowaniem Rurktar, mogło zostać przez programistę/programistów wykorzystanych jedynie w celach testowych. W miarę postępu prac sytuacja z pewnością ulegnie jednak zmianie.

Adresy IP stosowane do sterowania oprogramowaniem Rurktar na odległość będą bardziej zróżnicowane i nie będzie ich można przypisać wyłącznie do Rosji, ale też do innych krajów. Wszystko to wynika z faktu, że inne podmioty rozpoczną wykorzystywanie lub adaptowanie tego złośliwego oprogramowania do innych celów w całości lub w części. Dotychczasowe doświadczenie pokazuje, że wiele złośliwych programów wykorzystywanych jest przez tak zwanych „script kiddies”, którzy sklejają ze sobą nowe przykłady złośliwego oprogramowania wykorzystując łatwo dostępne elementy przy jednoczesnych niewielkich umiejętnościach z zakresu kodowania.

W ten sposób wyglądała na przykład sytuacja złośliwego oprogramowania typu ransomware nazwanego „HiddenTear”, które początkowo zostało stworzone do celów treningowych i edukacyjnych. Jego komponenty kryptograficzne nie były pozbawione wad (które wcześniej także udokumentował programista) – ale to nie przeszkodziło niektórym w wykorzystywaniu wadliwych komponentów kodujących do stworzenia „prawdziwego” złośliwego oprogramowania typu ransomware.

Wszystkie rozwiązania G DATA wykrywają poznane dotąd wersje oprogramowania Rurktar
jako MSIL.Backdoor.Rurktar.A.

Już wkrótce?

Wiele funkcji oraz parametrów konfiguracyjnych zostało zdefiniowanych, ale jeszcze niewdrożonych. Niewielki fragment przedstawia tabela poniżej:

Funckje Rurktar - ransomware

Podziel się artykułem
Share on FacebookTweet about this on TwitterShare on Google+Email this to someone