Rurktar – nowe oprogramowanie szpiegujące?

17.08.2017 2 minuty na przeczytanie artykułu

Artykuł redakcyjny

W pierwszej połowie 2017 roku liczba nowych „próbek” złośliwego oprogramowania wzrosła do 4 891 304, co pokazuje, że każdego dnia pojawiało się ponad 27 000 nowych zagrożeń (czyli średnio co 3,2 sekundy!). Co piąty malware, który kiedykolwiek powstał od momentu prowadzenia statystyk, powstał w tym roku!

Opracowanie nowego oprogramowania zawsze wymaga czasu. Nie wszystkie funkcje dostępne w produkcie docelowym są wdrażane od samego początku. Nie dziwi więc fakt, że tak samo sytuacja wygląda w przypadku złośliwego oprogramowania. Skąd biorą się i jak powstają aplikacje szkodliwe dla naszych komputerów? Najlepiej przedstawić to na konkretnym przykładzie nowego programu szpiegującego o nazwie Rurktar.

Na czyje zlecenie stworzono to oprogramowanie?

Nowemu narzędziu szpiegowskiemu nadano nazwę “Rurktar”, co może stanowić pewną wskazówkę odnośnie kraju jego pochodzenia. Prawdopodobnie zostało stworzone bowiem w Rosji. Istnieje kilka dowodów na potwierdzenie tej tezy: niektóre z wewnętrznych powiadomień o błędach są w języku rosyjskim, a adresy IP wykorzystywane do zarządzania oprogramowaniem szpiegowskim na odległość zlokalizowane są w Rosji.

Nie ma stuprocentowej pewności, czy Rurktar to dzieło pojedynczej osoby, czy całego zespołu. Wiemy jednak, że jako katalog roboczy wykorzystywany jest folder w Dropboxie i istnieje kilka wyjaśnień dla tej sytuacji. Na przykład współpracuje tu kilku programistów, którzy scalają swoją pracę za pośrednictwem Dropboxa. Może on też być wykorzystywany przez pojedynczą osobę jako uproszczony i bardzo podstawowy system przechowywania wersji. Niektóre konta Dropbox oferują możliwość odtworzenia poprzednich wersji pliku, dlatego też można go używać do śledzenia zmian. Jednak z punktu widzenia programisty nie stanowi idealnego rozwiązania. Należy także oczywiście wziąć pod uwagę możliwość wykorzystywania Dropboxa do backupu.

Cele

Mimo że nie wszystkie funkcje tego oprogramowania szpiegującego zostały w pełni opracowane, można z dużą dozą pewności stwierdzić, że Rurktar będzie wykorzystywany do precyzyjnie ukierunkowanych operacji szpiegowskich. Funkcje, które zostały już wdrożone umożliwiają rozpoznanie infrastruktury sieci. Pozwalają sprawdzić, czy konkretne urządzenie znajduje się w zasięgu, czy też nie. Umożliwiają również wykonywanie zrzutów ekranu, a nawet pobieranie konkretnych plików z zainfekowanego urządzenia. Możliwe jest także usuwanie plików lub ich wgrywanie do urządzenia.

Wszystko to przywodzi na myśl szpiegostwo przemysłowe – opisane do tej pory funkcje nie znajdują praktycznego zastosowania w takich zakrojonych na szeroką skalę operacjach, jak ataki złośliwego oprogramowania typu ransomware.

Rozprzestrzenianie się

Z uwagi na fakt, że oprogramowanie to jest nadal w fazie tworzenia i nie funkcjonuje na powszechną skalę, nie zdążyło się na razie za bardzo rozprzestrzenić. Tych kilka adresów IP, które do tej pory powiązano z oprogramowaniem Rurktar, mogło zostać przez programistę/programistów wykorzystanych jedynie w celach testowych. W miarę postępu prac sytuacja z pewnością ulegnie jednak zmianie. Adresy IP stosowane do sterowania oprogramowaniem Rurktar na odległość będą bardziej zróżnicowane. Dzięki temu nie będzie ich można przypisać wyłącznie do Rosji, ale też do innych krajów.

Wszystko to wynika z faktu, że inne podmioty rozpoczną wykorzystywanie lub adaptowanie tego złośliwego oprogramowania do innych celów w całości lub w części. Dotychczasowe doświadczenie pokazuje, że wiele złośliwych programów wykorzystywanych jest przez tak zwanych „script kiddies”, którzy sklejają ze sobą nowe przykłady złośliwego oprogramowania wykorzystując łatwo dostępne elementy przy jednoczesnych niewielkich umiejętnościach z zakresu kodowania.