Uroburos : le super cyberespion des services secrets russes ?

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Uroburos : le super cyberespion des services secrets russes ?

Publié le 03 mars 2014 à 16:45 par Jérôme G.

Lire sur mobile

Non détecté pendant au moins trois ans, le rootkit Uroburos est présenté extrêmement sophistiqué par G Data qui y voit la patte de la Russie.

Dans la mythologie grecque, Uroburos est le symbole d'un serpent ou un dragon qui se mord la queue. C'est aussi le nom qu'a donné G Data à un malware après avoir constaté plusieurs occurrences Urobur()sGotyOu# dans le code de celui-ci.

L'éditeur allemand de solutions de sécurité présente Uroburos comme un malware très complexe et sophistiqué ayant été conçu pour dérober des informations confidentielles et capturer du trafic réseau. Sa structure modulaire lui permet toutefois de se doter de diverses fonctionnalités.

De type rootkit et infectant les systèmes Windows 32 et 64 bits, Uroburos est constitué de deux fichiers : un pilote (fichier .sys) et un système de fichiers virtuel chiffré (fichier .dat). Stocké en local sur la machine infectée, le système de fichiers virtuel peut être de type NTFS et FAT, et devient un véritable espace de travail dissimulé pour les attaquants.

G Data souligne également que Uroburos fonctionne en mode P2P où les ordinateurs infectés communiquent entre eux via un réseau fermé. Un attaquant distant peut alors injecter une commande dans un ordinateur avec une connexion Internet afin d'infecter et contrôler d'autres ordinateurs sur le réseau qui n'ont pas d'accès à Internet.

Le plus ancien pilote pour Uroburos a été compilé en 2011. Cela veut dire que pendant au moins trois ans, ce malware est passé sous tous les radars de détection. Pour le moment, l'analyse de G Data ne permet pas de déterminer les vecteurs d'infection. L'éditeur a en tout cas la conviction que Uroburos est le fruit d'un " développement sophistiqué et coûteux ". Ne ciblant pas les particuliers, il serait ainsi l'œuvre de services secrets. Une origine russe est pointée du doigt.

Attribuée la paternité d'un malware est toutefois un exercice délicat et G Data s'appuie seulement sur des indices. Outre la présence de mots en cyrillique dans l'échantillon du malware, G Data a établi un lien avec des techniques employées pour le malware Agent.BTZ dont l'origine russe était déjà suspectée. Par ailleurs, si Uroburos détecte la présence de Agent.BTZ, il demeure inactif.

En 2008, Agent.BTZ avait été le fer de lance d'une cyberattaque à l'encontre du Pentagone. La propagation du ver - a priori initiée par des espions russes - avait poussé l'armée US à bannir l'utilisation de clés USB et disques amovibles.

Au cours de ces derniers mois et années, diverses révélations ont impliqué les États-Unis et Israël dans le développement de malwares sophistiqués, tandis que des soupçons pèsent sur la Chine. Que la Russie se mêle à tout ce beau monde n'est guère étonnant.