Russisk rootkit mot Ukraina


Avdelingen «Applied Intelligence» i britiske BAE Systems publiserte fredag en hvitbok om en omfattende operasjon for kyberspionasje de har døpt «Snake».

Snake beskrives som et «rootkit», altså skadevare som gjemmer seg dypt inne i et operativsystem, og som greier å holde seg skjult.

BAE-rapporten beskriver hvordan Snake til og med greier å bryte seg gjennom det kraftige vernet rundt kjernen i 64-bit Windows, også Windows 7 og 8.

Snake har en «utrolig kompleks kjernesentrert arkitektur», heter det i rapporten.

– Konstruksjonen tyder på at angriperne besitter et arsenal av infiltreringsverktøy, og bærer alle kjennetegn på en svært raffinert kyberoperasjon, heter det i rapporten.

Snake kan spres på flere vis, fra målrettet e-post til smittede USB-pinner.

BAE mener Snake utgjør en alvorlig trussel mot legitime organisasjoner i alle land, særlig dem med store nettverk som i multinasjonale selskaper og offentlig virksomhet.

Siden 2010 er 56 eksemplarer avdekket i ni land. Flest tilfeller, 32, er i Ukraina, hvorav 8 i 2013 og 14 hittil i år.

Ellers er 11 eksemplarer av Snake oppdaget i Litauen, 4 i Storbritannia, to hver i Belgia, Georgia og USA, og ett hver i Romania, Ungarn og Italia.

BAE viser til et tysk IT-sikkerhetsselskap, G Data, som 28. februar utga en rapport om et rootkit de døpte Uroburos, etter den greske betegnelsen på slange, altså «snake»: Uroburos – highly complex espionage software with Russian roots.

Ifølge BAE er Uroburos en komponent i Snake. I likhet med BAE framhever G Data den ondsinnede kodens kompleksitet og at utvikling og vedlikehold av denne typen kyberangrep krever store ressurser.

Både BAE og G Data viser til at Snake, henholdsvis Uroburos, er en videreutvikling av Agent.btz, ondsinnet kode som ble avdekket i amerikanske militære nettverk i 2008, både i USA og i Afghanistan. To år seinere bekreftet USAs daværende viseforsvarsminister William Lynn at det hadde tatt 14 måneder å renske Pentagons datanettverk for uvesenet.

Det ble kjent i 2010 at Pentagon mistenkte Agent.btz for å ha russisk opphav, uten nærmere presisering. G Data viser til detaljer i koden de har analysert, som de mener peker mot russiske hackere som opphav til Uroburos.

BAE-rapporten nevner ikke Russland direkte. Der analyseres ulike detaljer, blant annet tidsstempler fra kompilering. De konkluderer med at de som har utviklet koden og gjennomført kompileringer, har fulgt vanlig kontortid for tidssonen fire timer i forkant av universaltid, tilsvarende St. Petersburg og Moskva.

G Data følger sin Uroburos tilbake til 2009. BAE mener å kunne bevise at de første eksemplarene av ondsinnet kode som utgjør anene til Snake, Uroburos og Agent.btz, stammer fra 2005.

Poenget er altså at svært avansert ondsinnet kode, en videreutvikling av det antakelig alvorligste tilfellet av kyberangrep og kyberspionasje mot USA, nå florerer i Ukraina.

«En av de mest avanserte og mest utholdende trusler vi sporer», heter det i BAE-rapporten. Snake installerer bakdører, skjuler seg svært effektivt, og etablerer forbindelse til kommandoservere også fra maskiner uten direkte tilkopling til Internett. Metodene for selve dataoverføringen gjør det svært vanskelig å oppdage trafikken.

Blant Snake-komponentene BAE sinner mest oppsiktsvekkende, i tillegg til evnen til å knekke sikkerheten rundt kjernen i 64 bit Windows, er et verktøy for å kartlegge omgivelsene til den infiserte maskinen, både servere og pc-er. Kartleggingen gir kreftene bak Snake innsyn i mulige sårbarheter i maskinene rundt den infiserte maskinen, slik at det kan skreddersys angrep mot disse. Metoden er manuell, og følgelig ressurskrevende. Men den er svært effektiv.

– Kompleksiteten i Snakes kjernesentrerte arkitektur er unik. Hensikten er å gi Snake så mye fleksibilitet som mulig, skriver BAE.

BAE mener kreftene bak Snake har et «arsenal av infiltreringsverktøy». Bakdørene gir full fjernkontroll over kompromitterte systemer. Snake kan gå i dvale, og være nærmest usynlig selv for avanserte forsvarsverktøy. Den snoker i et nettverk, og mellomlagrer informasjon i virtuelle og nærmest usynlige lagringsenheter.

– Vi ser på denne trusselen som en permanent del av landskapet, understreker BAE.

BAE-rapporten inneholder flere anbefalinger for systemansvarlige som vil ta opp jakten på Snake.

Anbefaling én er å søke i logger for forbindelser til kommando- og kontrollservere knyttet til Snake. Rapporten har en lang liste over slike.

Anbefaling to er å søke for MD5-hash av kjente eksemplarer av Snake. Rapporten oppgir eksempler.

Anbefaling tre er å sjekke indikatorer på at man kan være smittet. Rapporten oppgir hva man skal være oppmerksom på.

Anbefaling fire er å satse på Snort for å kunne avdekke Snake i selve nettverket. Rapporten inneholder to forslag til slike regler.

Norge?
Pressetjenesten til NorCERT sier til digi.no at de har som fast regel ikke å kommentere rundt konkrete trusler, og de kan heller ikke si om Snake har vært observert i Norge.

New York Times har henvendt seg til «amerikanske etterretningskilder» og fått som svar at det er uklart om Snake er et utslag av statlig virksomhet. De samme kildene legger til at Ukraina nærmest kryr av ondsinnet kode, og at Snake er bare en del av den samlede kybertrusselen mot landet.

Kildene peker videre på at Snake har to interessante egenskaper: Den kan brukes til både overvåkning og angrep.

Leave a Reply

Your email address will not be published.