QBusiness.plReNews.plKontakt Spotkania biznesowe Polityka cookies Partnerzy Oferta O nas
QBusiness.pl
spotkania biznesowe
Szukaj 
Banner

O NAS

OFERTA

NEWSLETTER

SPOTKANIA

KONTAKT

Partnerzy:
Wrocław
BCC
WCL DFG
DIG
Dolnośląska
Izba
Gospodarcza
stowarzyszenie
Stowarzyszenie
Przewoźników
Drogowych
InWroc MRN
Ślęza

Rurktar – nowe oprogramowanie szpiegujące?

wykres


Opracowanie nowego oprogramowania zawsze wymaga czasu. Nie wszystkie funkcje dostępne w produkcie docelowym są wdrażane od samego początku. Nie dziwi więc fakt, że tak samo sytuacja wygląda w przypadku złośliwego oprogramowania. Jeden z takich nietypowych plików przykuł uwagę pracowników G DATA Security Labs i postanowili przyjrzeć mu się z bliska. A o efektach „badań” przeczytać można poniżej.


Na czyje zlecenie stworzono to oprogramowanie?

Nowemu narzędziu szpiegowskiemu nadano nazwę “Rurktar”, co może stanowić pewną wskazówkę odnośnie kraju jego pochodzenia. Prawdopodobnie zostało stworzone bowiem w Rosji. Istnieje kilka dowodów na potwierdzenie tej tezy: niektóre z wewnętrznych powiadomień o błędach są w języku rosyjskim, a adresy IP wykorzystywane do zarządzania oprogramowaniem szpiegowskim na odległość zlokalizowane są w Rosji.


Nie ma stuprocentowej pewności, czy Rurktar to dzieło pojedynczej osoby, czy całego zespołu. Wiemy jednak, że jako katalog roboczy wykorzystywany jest folder w Dropboxie i istnieje kilka wyjaśnień dla tej sytuacji. Na przykład współpracuje tu kilku programistów, którzy scalają swoją pracę za pośrednictwem Dropboxa. Może on też być wykorzystywany przez pojedynczą osobę jako uproszczony i bardzo podstawowy system przechowywania wersji – niektóre konta Dropbox oferują możliwość odtworzenia poprzednich wersji pliku, dlatego też można go używać do śledzenia zmian, co jednak z punktu widzenia programisty nie stanowi idealnego rozwiązania. Należy także oczywiście wziąć pod uwagę możliwość wykorzystywania Dropboxa do backupu.


Cele

Mimo że nie wszystkie funkcje tego oprogramowania szpiegującego zostały w pełni opracowane, można z dużą dozą pewności stwierdzić, że Rurktar będzie wykorzystywany do precyzyjnie ukierunkowanych operacji szpiegowskich. Funkcje, które zostały już wdrożone umożliwiają rozpoznanie infrastruktury sieci, pozwalają sprawdzić, czy konkretne urządzenie znajduje się w zasięgu, czy też nie, umożliwiają również wykonywanie zrzutów ekranu, a nawet pobieranie konkretnych plików z zainfekowanego urządzenia. Możliwe jest także usuwanie plików lub ich wgrywanie do urządzenia. Wszystko to przywodzi na myśl szpiegostwo przemysłowe – opisane do tej pory funkcje nie znajdują praktycznego zastosowania w takich zakrojonych na szeroką skalę operacjach, jak ataki złośliwego oprogramowania typu ransomware.


Rozprzestrzenianie się

Z uwagi na fakt, że oprogramowanie to jest nadal w fazie tworzenia i nie funkcjonuje na powszechną skalę, nie zdążyło się na razie za bardzo rozprzestrzenić. Tych kilka adresów IP, które do tej pory powiązano z oprogramowaniem Rurktar, mogło zostać przez programistę/programistów wykorzystanych jedynie w celach testowych. W miarę postępu prac sytuacja z pewnością ulegnie jednak zmianie. Adresy IP stosowane do sterowania oprogramowaniem Rurktar na odległość będą bardziej zróżnicowane i nie będzie ich można przypisać wyłącznie do Rosji, ale też do innych krajów. Wszystko to wynika z faktu, że inne podmioty rozpoczną wykorzystywanie lub adaptowanie tego złośliwego oprogramowania do innych celów w całości lub w części. Dotychczasowe doświadczenie pokazuje, że wiele złośliwych programów wykorzystywanych jest przez tak zwanych „script kiddies”, którzy sklejają ze sobą nowe przykłady złośliwego oprogramowania wykorzystując łatwo dostępne elementy przy jednoczesnych niewielkich umiejętnościach z zakresu kodowania. W ten sposób wyglądała na przykład sytuacja złośliwego oprogramowania typu ransomware nazwanego „HiddenTear”, które początkowo zostało stworzone do celów treningowych i edukacyjnych. Jego komponenty kryptograficzne nie były pozbawione wad (które wcześniej także udokumentował programista) – ale to nie przeszkodziło niektórym w wykorzystywaniu wadliwych komponentów kodujących do stworzenia „prawdziwego” złośliwego oprogramowania typu ransomware.


Wszystkie rozwiązania G DATA wykrywają poznane dotąd wersje oprogramowania Rurktar jako MSIL.Backdoor.Rurktar.A.


Już wkrótce?

Wiele funkcji oraz parametrów konfiguracyjnych zostało zdefiniowanych, ale jeszcze nie wdrożonych. Niewielki fragment przedstawia tabela poniżej:


wykres


Źródło: G DATA

01.08.2017


Tagi: oprogramowanie szpiegowskie, Rurktar