Uroburos : un rootkit russe espionnant les entreprises ?

CloudRisquesSécurité
uruburos-g-data-cybermenace-rootkit

L’éditeur de solutions antivirus G Data a identifié Uroburos, un rootkit favorisant l’espionnage de réseaux grandes organisations. Un malware en provenance de Russie ?

G Data, éditeur allemand de solutions de sécurité, a repéré une cybermenace pas si nouvelle que cela en activité sur le Web. Nommée Uroburos (du nom d’un serpent de mordant la queue dans la mythologie grecque), ce rootkit est conçu pour viser les grands réseaux puis les espionner, voireen prendre le contrôle.

D’après le communiqué G Data, Uroburos est un rootkit, c’est-à-dire un logiciel capable de créer un accès (ou backdoor) pour tout hacker au système dans lequel il est implanté, et ce, en totale discrétion. Celui-ci comporte en tout et pour tout deux fichiers. Le premier est un pilote permettant son fonctionnement sur tout terminal disposant d’un système d’exploitation de Microsoft en 32 ou 64 bits, et l’autre est un fichier système chiffré.

Le code d’Uroburos est considéré comme “hautement dangereux” par G Data car il a la particularité de disposer d’une structure modulaire qui lui permet d’être adapté à distance par les hackers en fonction de leurs besoins. A la manière des virus biologiques, ce rootkit peut donc être muté pour effectuer des actions particulières et adaptées à ses cibles. Celles-ci ne seraient pas les particuliers mais bien les réseaux des multinationales, des administrations étatiques, des services de renseignement…

Uroburos, qui fonctionne en point à point, est capable de se dupliquer : lorsque le hacker est parvenu à infecter un terminal connecté au réseau cible, le rootkit peut contaminer tous les autres terminaux en transitant via le réseau. La méthode d’infection utilisée n’a pas été déterminée par l’éditeur de solutions antivirus. Tout en suggérant que des techniques de hameçonnage (phishing) ou de drive by download (infection malware en consultant une page Web) pourraient être exploitées.

D’après G Data, le code de cette cybermenace est bien trop complexe et efficace pour qu’il s’agisse de l’œuvre d’un ou plusieurs hackers indépendants. Le coût d’une telle action indiquerait plutôt un pilotage d’Etat. Les soupçons se portent sur la Russie. En effet, Uroburos est conçu pour vérifier la présence du programme Agent.BTZ  du nom d’une menace associée à une cyberattaque russe à l’encontre des Etats-Unis en 2008) et ne pas s’activer si tel est le cas. Autre indice : le code source d’Uroburos serait écrit en russe.

Ce programme malveillant serait donc assez ancien et pourrait sévir depuis 2011.

uruburos-g-data-cybermenace-rootkit
Uruburos est le nom d’un serpent de la mythologie grecque, mais aussi d’un rootkit capables d’espionner et de contrôler les plus grands réseaux.
Crédit image : Eugene Ivanov pour Shutterstock

Quiz : Hacking, phishing, spamming? La sécurité sur internet n’a pas de secret pour vous ?


Lire la biographie de l´auteur  Masquer la biographie de l´auteur