Onderzoekers van een Duits anti-virusbedrijf hebben naar eigen zeggen één van de meest geavanceerde rootkits ooit ontdekt, die offline computers kan infecteren en voor spionagedoeleinden werd gebruikt. De malware heet Uroburos en kan vertrouwelijke documenten stelen en netwerkverkeer onderscheppen.
Vanwege het rootkit-onderdeel is de malware zeer lastig te identificeren. Aan de hand van de structuur zeggen onderzoekers van het Duitse anti-virusbedrijf G Data dat Uroburos het werk van zeer ervaren programmeurs is. Daarbij wordt er zelfs aangenomen dat de ontwikkelaars aan nog geavanceerdere versies werken die nog ontdekt moeten worden.
De malware is ontwikkeld om in peer-to-peer-mode te werken, zodat het ook computers kan infecteren die niet op het internet zijn aangesloten. Via een computer die wel online is kunnen de aanvallers vervolgens de computers die offline zijn aansturen. Bestanden die de aanvallers willen stelen worden via de offline computers naar de online computer doorgestuurd, waarna de data naar de aanvallers gaat.
De oudste driver van Uroburos dateert uit 2011, wat mogelijk inhoudt dat de malware drie jaar langer verborgen bleef. Hoe Uroburos zich verspreidt, door wie die ontwikkeld is en wie de doelwitten zijn, is onbekend. In de code van de malware werden wel Russische woorden aangetroffen, wat er mogelijk op duidt dat de ontwikkelaars Russisch spreken, aldus de onderzoekers.
Die vermoeden dat de groep die de malware ontwikkelde ook achter een aanval tegen het Amerikaanse leger in 2008 zat. Een worm genaamd Agent.BTZ wist toen allerlei computers en netwerken van het leger te infecteren, wat uiteindelijk voor een verbod op USB-sticks zorgde. Uroburos controleert op de aanwezigheid van Agent.BTZ. Wordt de worm aangetroffen, dan voert de spionage-rootkit geen verdere handelingen uit en blijft inactief.
Deze posting is gelocked. Reageren is niet meer mogelijk.