PROFILPELAJAR.COM

Snake // Uroborus // Turla
Тип	комп'ютерний хробак, руткіт, бекдор
Автор	невідомий, пов'язують з російськими розвідувальними підрозділами
Перший випуск	перша компіляція - 2006 рік,; помічений - 2010 рік
Операційна система	32- та 64- бітні версії Microsoft Windows

У Вікіпедії є статті про інші значення цього терміна: Змія (значення).

У Вікіпедії є статті про інші значення цього терміна: Уроборос (значення).

Змія або уроборос — комп'ютерний хробак.

Дослідники британської фірми BAE Systems Applied Intelligence зафіксували в 2013—2014 роках сплеск виявлених випадків зараження інформаційних систем приватних підприємств та державних установ України комп'ютерним хробаком (з руткітом), який вони назвали «Змія» (англ. snake). Дослідники з німецької фірми GData назвали цього хробака «уроборос», англ. uroborus (також англ. ouroborus — гадюка в грецькій міфології, або англ. sengoku та англ. snark). На думку дослідників обох фірм, цей хробак можливо пов'язаний та був створений на основі хробака Agent.BTZ, який в 2008 році вразив інформаційні системи Центрального Командування ЗС США^[1]^[2]^[3].

Назва

Уроборос. Зображення з алхімічного трактату 1478 року. Автор — Теодор Пелеканос

Даний зразок шкідливого програмного забезпечення отримав різні назви від різних компаній, зокрема, він відомий як:

«Уроборос», англ. uroborus, також англ. ouroborus — гадюка в грецькій міфології
англ. Sengoku та англ. snark)
англ. Turla^[4].

Характеристики

Фахівці із CERT-UA виявили кілька особливостей вірусу Uroborus:^[5]

складність програмного коду (що обумовлює можливість його розроблення із залученням значної кількості людських, технічних і фінансових ресурсів (зокрема, це можуть бути науково-дослідні установи, ІТ-корпорації, державні установи, спецслужби тощо);
наявність літер кирилиці у програмному коді;
схожість за низкою характеристик (імена файлів, ключі шифру, основні можливості тощо) із троянською програмою Agent.BTZ, яку було знайдено в інформаційних системах ЗС США в 2008 році, що призвело до повної відмови ЗС США від використання USB-носіїв (через які вона поширювалася в автоматизованих системах військового призначення);
географія поширення вірусу.

Зважаючи на зазначені особливості, фахівці CERT-UA припускають, що до вироблення вірусу причетні іноземні спецслужби, а сам він очевидно пов'язаний зі зростаючою (листопад 2013 — лютий 2014 року) напруженістю в українсько-російських відносинах^[5]^[6]. Фахівці німецької контррозвідки в щорічному звіті за 2015 рік зазначають, що через велику складність та гнучкість даного зразка шкідливого ПЗ, спосіб його застосування та цілі, проти яких його використано, а також інші ознаки, виявлені фахівцями з комп'ютерної безпеки, можна говорити про його походження та використання російською розвідкою^[7].

«Уроборос» здатен поширюватись різними способами, зокрема, через так звані атаки Watering-Hole. Його складно виявляти, він працює автономно, та самостійно поширюється в інфікованих мережах. Враженими можуть бути навіть комп'ютери без прямого підключення до Інтернет^[7].

Застосування

Російсько-українська війна

Докладніше: Російсько-українська кібервійна

В інтернет-протистоянні Росії з Україною проти України вперше було застосовано троянські програми, ключовою серед яких став вірус Uroburos. З одного боку, завданням цього вірусу було формування бот-мережі із заражених комп'ютерів та отримання повноцінного доступу до їх наповнення, а з іншого — викрадення інформації з цих комп'ютерів. Об'єкти атаки також, вочевидь, були обрані не випадково — вебресурси органів державної влади (в тому числі силових структур), засобів масової інформації, фінансових установ, великих промислових підприємств^[6].

Дослідники британської фірми BAE Systems Applied Intelligence зафіксували в 2013—2014 роках сплеск виявлених випадків зараження інформаційних систем приватних підприємств та державних установ України комп'ютерним хробаком (з руткітом), який вони назвали «Змія» (англ. snake). Дослідники з німецької фірми GData назвали цього хробака «уроборос», англ. uroborus (також англ. ouroborus — гадюка в грецькій міфології, або англ. sengoku та англ. snark). На думку дослідників обох фірм, цей хробак можливо пов'язаний та був створений на основі хробака Agent.BTZ, який в 2008 році вразив інформаційні системи Центрального Командування ЗС США^[1]^[2]^[3].

Пік виявлення атак із використанням хробака «уроборос» збігся з розвитком масових протестів. Протягом січня 2014 року було зафіксовано 22 випадки інфікування інформаційних систем, при цьому протягом 2013 року «уроборос» був виявлений не більше 8 разів. В Україні зловмисники із застосуванням «уроборос» отримували повний доступ до вражених систем. На думку британських експертів, є всі підстави вважати, що за «уроборос» стоять спецслужби Російської Федерації^[8].

За даними CERT-UA основними відомими станом на березень 2014 року об'єктами ураження «уроборос» є:

вебресурси органів державної влади (в тому числі силових структур);
вебресурси засобів масової інформації;
вебресурси фінансових установ;
вебресурси великих промислових підприємств.

Фахівці CERT-UA не виключають, що головною метою Uroborus є порушення фукціонування об'єктів інформаційної інфраструктури України для викрадення конфіденційної інформації. Ретельна підготовка, прихованість дій, спрямованість кібератак (США -2008 рік, Україна — 2014 рік), а також залучення значних ресурсів — все це опосередковано свідчить про причетність іноземних спецслужб. В цьому контексті CERT-UA та деякі українські спеціалісти з інформаційної безпеки вбачають основним мотивом ініціатора кібератак необхідність встановлення прихованого контролю за визначеними об'єктами для подальшого спостереження за інформаційним обміном з власної території^[5].

Німеччина

«Уроборос» був застосований не лише проти України, а й проти інших країн. Зокрема, дане ПЗ згадане в річному звіті німецької контррозвідки за 2015 рік. Німецька контррозвідка зазначила, що як і раніше, в 2015 році російська розвідка використовувала «змію» (він же — «Turla») проти установ по всьому світу. В Німеччині жертвами кібератак з його застосуванням стали посольства, заклади вищої освіти, дослідницькі інститути, та приватні підприємства^[7].

Примітки

↑ ^а ^б The Snake Campaign. BAE Systems. 2014. Архів оригіналу за 22 липня 2020. Процитовано 1 липня 2016.
↑ ^а ^б John E Dunn (7 березня 2014). Invisible Russian cyberweapon stalked US and Ukraine since 2005, new research reveals. Techworld. Архів оригіналу за 13 квітня 2016. Процитовано 10 травня 2016.
↑ ^а ^б Uroburos. Highly complex espionage software with Russian roots (PDF). G Data SecurityLabs. 2014-02. Архів оригіналу (PDF) за 7 жовтня 2020. Процитовано 1 липня 2016.
↑ Symantec Security Response (07 Aug 2014). Turla: Spying tool targets governments and diplomats. Cyberespionage group uses sophisticated malware to target former Eastern Bloc countries. Symantec. Архів оригіналу за 19 січня 2022. Процитовано 1 липня 2016.
↑ ^а ^б ^в Зараження вірусом Uroburos. CERT-UA. 19/03/2014. Архів оригіналу за 3 березня 2018. Процитовано 4 липня 2016.
↑ ^а ^б Д. В. Дубов (2014). Розділ 4. Забезпечення національних інтересів України в глобальному та національному кіберпросторах. Кіберпростір як новий вимір геополітичного суперництва. Київ: Національний інститут стратегічних досліджень. ISBN 978-966-554-240-7.
↑ ^а ^б ^в Bundesamt für Verfassungsschutz (ред.). Spionage und sonstige nachrichtendienstliche Aktivitäten. Verfassungsschutzbericht 2015. Bundesministerium des Innern. ISSN 0177-0357. Архів оригіналу за 30 березня 2018. Процитовано 4 липня 2016.
↑ Майя Яровая (11 березня 2014). Британский эксперт: Россия развязала против Украины кибервойну. AIN.UA. Архів оригіналу за 1 травня 2016. Процитовано 11 травня 2016.

Література

The Snake Campaign. BAE Systems. 2014. Архів оригіналу за 22 липня 2020. Процитовано 1 липня 2016.
Uroburos Highly complex espionage software with Russian roots (PDF). G Data SecurityLabs. 2014. Архів оригіналу (PDF) за 7 жовтня 2020. Процитовано 1 липня 2016.
Kaspersky (7 серпня 2014). The Epic Turla Operation. Solving some of the mysteries of Snake/Uroburos. Securelist. Архів оригіналу за 31 травня 2016. Процитовано 11 серпня 2016.
The Uroburos case: new sophisticated RAT identified. G Data Security Blog. листопад 2014. Архів оригіналу за 18 серпня 2016. Процитовано 11 серпня 2016.
Kurt Baumgartner, Costin Raiu (8 грудня 2014). The ‘Penquin’ Turla. A Turla/Snake/Uroburos Malware for Linux. Securelist. Архів оригіналу за 20 листопада 2015. Процитовано 11 серпня 2016.