Uroburos, une logiciel de renseignement russe ?
G Data vient de découvrir Uroburos, un logiciel espion décrit comme « très complexe et sophistiqué, conçu pour voler des données confidentielles ». Et de suspecter l’action d’une agence du renseignement russe.
G Data vient de découvrir un logiciel espion que l’éditeur décrit comme « très complexe et sophistiqué, conçu pour voler des données confidentielles ». Dans un document publié sur son blog, l’Allemand explique qu’il s’agit d’un rootkit composé de deux éléments : un pilote et un système de fichiers virtuel chiffré, le pilote servant à l’accès à ce dernier : « il est capable de prendre le contrôle d’une machine infectée, d’exécuter des commandes arbitraires et de cacher les activités système. » Visant les systèmes Windows 32 et 64 bits, ce logiciel espion, baptisé Uroburos, peut « voler des informations (et en particulier des fichiers) et capturer le trafic réseau ». Surtout, il affiche une structure modulaire lui permettant « d’étendre aisément ses fonctionnalités ». Ce qui en fait, pour G Data, un logiciel malveillant « pas seulement hautement sophistiqué mais également très complexe et dangereux ». Son pilote, en particulier, aurait été conçu pour être très furtif et « difficile à identifier ».
Une opération d’état ?
L’éditeur allemand estime qu’Uroburos a demandé un « investissement énorme » en matière de développement. Et de penser qu’il en existe probablement des variantes plus avancées qui restent à découvrir. Le plus ancien pilote identifié par G Data aurait été compilé en 2011, « ce qui signifie que la campagne est restée dissimulée durant au moins trois ans ».
Qui plus est, le logiciel malveillant communique en pair-à-pair, et exploiterait une méthode de propagation conçue « pour les réseaux de grandes entreprises et d’autorités publiques » où certaines machines sont déconnectées d’Internet. Il viserait en particulier des grandes entreprises, des états, ou encore des agences du renseignement. Pour autant, le mode d’infection initial n’a pas été identifié.
Surtout, pour G Data, le groupe à l’origine d’Uroburos serait le même que celui « qui a conduit une cyberattaque contre les Etats-Unis en 2008, avec un logiciel malveillant appelé Agent.BTZ ». Un groupe que le gouvernement américain suspectait, en 2011, d’être intimement lié au renseignement russe.
