Experții în securitate au cercetat dezvoltarea malware-ului Agent.BTZ Timp de șapte ani.
Atacuri cibernetice orientate asupra instituțiilor guvernamentale, companiilor și organizațiilor internaționale au crescut în ultimii ani. Malware-ul este arma aleasã. Timp de șapte ani, G DATA a urmãrit activitatea uneia dintre cele mai cunoscute programe malware: Agent.BTZ. În 2008, tulpina malware a fost implicatã într-un atac cibernetic asupra Pentagonului din Statele Unite ale Americii. În 2014, s-a constatat cã programul spyware Uroburos a atacat atât Ministerelor de Externe belgian, cât și pe cel finlandez. În noiembrie 2014, ComRAT (succesorul Agent.BTZ a) a fost descoperit și analizat în detaliu, dezvãluind similitudini tehnice cu rootkit-ul Uroburos. În toate mostrele malware analizate, experții G DATA au gãsit coduri de program similare. Cum procedeazã autorii pentru a atinge conceptul de cyber-spionaj? Pentru a ilustra modul în care este dezvoltat un program spyware extrem de complex, experții în securitate au investigat îndeaproape Agent.BTZ și ComRAT – în total 46 de probe diferite au fost analizate într-o perioadã de șapte ani.
"Ca urmare a analizei, acum avem date privind șapte ani de dezvoltare a malware-ului, care a fost folosit de cãtre un grup de infractori în atacuri îndreptate asupra unor ținte extrem de sensibile, cum ar fi Pentagonul SUA în 2008, Ministerul de Externe Belgian și Ministerul de Externe Finlandez în 2014", explicã Ralf Benzmuller, șeful G Data SecurityLabs.
Modificări minore ale software-ului
Pânã la versiunea 3.00, în 2012, experții de securitate G Data detecteazã doar modificãri minore ale software-ului. S-au fãcut modificãri pentru versiunile de Windows, au fost eliminate erori de programare și s-au adãugat metode camuflate de atac. Cea mai mare actualizare a avut loc în versiunea 3.00 a malware-ului ComRAT. Cu toate acestea, metodele atacatorilor nu sunt foarte clare. Experții de securitate bãnuiesc cã în spatele malware-ului sunt hackeri bine pregãtiți, care știu cum sã-și acopere urmele.
Analiștii G Data sunt siguri cã grupul din spatele Uroburos, Agent.BTZ și ComRAT continuã sã fie activ în atacuri malware și în zona APT (Advanced Persistent Threat). Cele mai recente dezvãluiri și anumite legãturi duc la speculații cã mai multe atacuri pot fi de așteptate în viitor.
Analiza detaliatã a programului complex spyware este descrisã pe: https://blog.gdatasoftware.com/blog/article/evolution-of-sophisticated-spyware-from-agentbtz-to-comrat.html.
Experții G Data au analizat succesorul lui Agent.BTZ, ComRAT: https://blog.gdatasoftware.com/blog/article/the-uroburos-case-new-sophisticated-rat-identified.html.
Deturnarea de obiecte COM este cercetatã în detaliu pe G DATA SecurityBlog: https://blog.gdatasoftware.com/blog/article/com-object-hijacking-the-discreet-way-of-persistence.html.
Analiza Uroburos poate fi gãsitã pe G DATA SecurityBlog (https://blog.gdatasoftware.com/blog/article/uroburos-highly-complex-espionage-software-with-russian-roots.html), împreună cu o analiză tehnică detaliată a funcționalităților malware-ului (https://blog.gdatasoftware.com/blog/article/uroburos-deeper-travel-into-kernel-protection-mitigation.html).
