QBusiness.plReNews.plKontakt Spotkania biznesowe Polityka cookies Partnerzy Newsletter Reklama O nas
QBusiness.pl
spotkania biznesowe
Szukaj 

Rurktar – nowe oprogramowanie szpiegujące?

wykres


Opracowanie nowego oprogramowania zawsze wymaga czasu. Nie wszystkie funkcje dostępne w produkcie docelowym są wdrażane od samego początku. Nie dziwi więc fakt, że tak samo sytuacja wygląda w przypadku złośliwego oprogramowania. Jeden z takich nietypowych plików przykuł uwagę pracowników G DATA Security Labs i postanowili przyjrzeć mu się z bliska. A o efektach „badań” przeczytać można poniżej.


Na czyje zlecenie stworzono to oprogramowanie?

Nowemu narzędziu szpiegowskiemu nadano nazwę “Rurktar”, co może stanowić pewną wskazówkę odnośnie kraju jego pochodzenia. Prawdopodobnie zostało stworzone bowiem w Rosji. Istnieje kilka dowodów na potwierdzenie tej tezy: niektóre z wewnętrznych powiadomień o błędach są w języku rosyjskim, a adresy IP wykorzystywane do zarządzania oprogramowaniem szpiegowskim na odległość zlokalizowane są w Rosji.


Nie ma stuprocentowej pewności, czy Rurktar to dzieło pojedynczej osoby, czy całego zespołu. Wiemy jednak, że jako katalog roboczy wykorzystywany jest folder w Dropboxie i istnieje kilka wyjaśnień dla tej sytuacji. Na przykład współpracuje tu kilku programistów, którzy scalają swoją pracę za pośrednictwem Dropboxa. Może on też być wykorzystywany przez pojedynczą osobę jako uproszczony i bardzo podstawowy system przechowywania wersji – niektóre konta Dropbox oferują możliwość odtworzenia poprzednich wersji pliku, dlatego też można go używać do śledzenia zmian, co jednak z punktu widzenia programisty nie stanowi idealnego rozwiązania. Należy także oczywiście wziąć pod uwagę możliwość wykorzystywania Dropboxa do backupu.


Cele

Mimo że nie wszystkie funkcje tego oprogramowania szpiegującego zostały w pełni opracowane, można z dużą dozą pewności stwierdzić, że Rurktar będzie wykorzystywany do precyzyjnie ukierunkowanych operacji szpiegowskich. Funkcje, które zostały już wdrożone umożliwiają rozpoznanie infrastruktury sieci, pozwalają sprawdzić, czy konkretne urządzenie znajduje się w zasięgu, czy też nie, umożliwiają również wykonywanie zrzutów ekranu, a nawet pobieranie konkretnych plików z zainfekowanego urządzenia. Możliwe jest także usuwanie plików lub ich wgrywanie do urządzenia. Wszystko to przywodzi na myśl szpiegostwo przemysłowe – opisane do tej pory funkcje nie znajdują praktycznego zastosowania w takich zakrojonych na szeroką skalę operacjach, jak ataki złośliwego oprogramowania typu ransomware.


Rozprzestrzenianie się

Z uwagi na fakt, że oprogramowanie to jest nadal w fazie tworzenia i nie funkcjonuje na powszechną skalę, nie zdążyło się na razie za bardzo rozprzestrzenić. Tych kilka adresów IP, które do tej pory powiązano z oprogramowaniem Rurktar, mogło zostać przez programistę/programistów wykorzystanych jedynie w celach testowych. W miarę postępu prac sytuacja z pewnością ulegnie jednak zmianie. Adresy IP stosowane do sterowania oprogramowaniem Rurktar na odległość będą bardziej zróżnicowane i nie będzie ich można przypisać wyłącznie do Rosji, ale też do innych krajów. Wszystko to wynika z faktu, że inne podmioty rozpoczną wykorzystywanie lub adaptowanie tego złośliwego oprogramowania do innych celów w całości lub w części. Dotychczasowe doświadczenie pokazuje, że wiele złośliwych programów wykorzystywanych jest przez tak zwanych „script kiddies”, którzy sklejają ze sobą nowe przykłady złośliwego oprogramowania wykorzystując łatwo dostępne elementy przy jednoczesnych niewielkich umiejętnościach z zakresu kodowania. W ten sposób wyglądała na przykład sytuacja złośliwego oprogramowania typu ransomware nazwanego „HiddenTear”, które początkowo zostało stworzone do celów treningowych i edukacyjnych. Jego komponenty kryptograficzne nie były pozbawione wad (które wcześniej także udokumentował programista) – ale to nie przeszkodziło niektórym w wykorzystywaniu wadliwych komponentów kodujących do stworzenia „prawdziwego” złośliwego oprogramowania typu ransomware.


Wszystkie rozwiązania G DATA wykrywają poznane dotąd wersje oprogramowania Rurktar jako MSIL.Backdoor.Rurktar.A.


Już wkrótce?

Wiele funkcji oraz parametrów konfiguracyjnych zostało zdefiniowanych, ale jeszcze nie wdrożonych. Niewielki fragment przedstawia tabela poniżej:


wykres


Źródło: G DATA

01.08.2017


Tagi: oprogramowanie szpiegowskie, Rurktar


DAWG

WROCŁAW - BIURA DO WYNAJĘCIA

foto

Zlokalizowany w rejonie wrocławskiego śródmieścia biurowiec Promenady ZITA oferuje do wynajęcia...

NOWOCZESNE POWIERZCHNIE PRZEMYSŁOWE

mieszkanie

CTPark Opole oferuje dla inwestorów nowoczesne powierzchnie przemysłowe na terenie strefy ekonomicznej...

PLATFORMA ZAKUPOWA - ZOBACZ I SKORZYSTAJ!

giełda

Łączymy sprzedających i kupujących na wspólnej platformie elektronicznej...

STUDIA PODYPLOMOWE

giełda

MWSLiT to istniejąca od 2001 r., specjalistyczna, niepubliczna...

SPOTKANIA BIZNESOWE

KUP BIURO! WROCŁAW-KRZYKI

mieszkanie

Na sprzedaż biuro o pow. 136,76 mkw na II p. w nowoczesnym budynku biurowym przy ul. Wałbrzyskiej 6 we Wrocławiu...

DO WYNAJĘCIA W ŚRÓDMIEŚCIU WROCŁAWIA

giełda

Do wynajęcia hala z przeznaczeniem na cele produkcyjno-magazynowe przy ul. Góralskiej we Wrocławiu...

KOWR WE WROCŁAWIU - NOWE OFERTY!

KOWR O/Wrocław prezentuje nieruchomości zabytkowe i grunty inwestycyjne, na które...

KINNARPS - MEBLE

foto

Seria Space marki Kinnarps zaprojektowana przez Stefana Brodbecka (Brodbeck Design)...

WROCŁAWSKIE CENTRUM LOGISTYCZNE

Od połowy lipca, WCL oferuje do wynajęcia obiekt magazynowy o pow. 1650 m2 z 12 bramami...


Wrocławskie Centrum Logistyczne wynajmie powierzchnię w biurowcu...