Opracowanie nowego oprogramowania zawsze wymaga czasu. Nie wszystkie funkcje dostępne w produkcie docelowym są wdrażane od samego początku. Nie dziwi więc fakt, że tak samo sytuacja wygląda w przypadku złośliwego oprogramowania. Jeden z takich nietypowych plików przykuł uwagę pracowników G DATA Security Labs i postanowili przyjrzeć mu się z bliska. A o efektach „badań” przeczytać można poniżej.

Na czyje zlecenie stworzono to oprogramowanie?

Nowemu narzędziu szpiegowskiemu nadano nazwę “Rurktar”, co może stanowić pewną wskazówkę odnośnie kraju jego pochodzenia. Prawdopodobnie zostało stworzone bowiem w Rosji. Istnieje kilka dowodów na potwierdzenie tej tezy: niektóre z wewnętrznych powiadomień o błędach są w języku rosyjskim, a adresy IP wykorzystywane do zarządzania oprogramowaniem szpiegowskim na odległość zlokalizowane są w Rosji.

Nie ma stuprocentowej pewności, czy Rurktar to dzieło pojedynczej osoby, czy całego zespołu. Wiemy jednak, że jako katalog roboczy wykorzystywany jest folder w Dropboxie i istnieje kilka wyjaśnień dla tej sytuacji. Na przykład współpracuje tu kilku programistów, którzy scalają swoją pracę za pośrednictwem Dropboxa. Może on też być wykorzystywany przez pojedynczą osobę jako uproszczony i bardzo podstawowy system przechowywania wersji – niektóre konta Dropbox oferują możliwość odtworzenia poprzednich wersji pliku, dlatego też można go używać do śledzenia zmian, co jednak z punktu widzenia programisty nie stanowi idealnego rozwiązania. Należy także oczywiście wziąć pod uwagę możliwość wykorzystywania Dropboxa do backupu.

Cele

Mimo że nie wszystkie funkcje tego oprogramowania szpiegującego zostały w pełni opracowane, można z dużą dozą pewności stwierdzić, że Rurktar będzie wykorzystywany do precyzyjnie ukierunkowanych operacji szpiegowskich. Funkcje, które zostały już wdrożone umożliwiają rozpoznanie infrastruktury sieci, pozwalają sprawdzić, czy konkretne urządzenie znajduje się w zasięgu, czy też nie, umożliwiają również wykonywanie zrzutów ekranu, a nawet pobieranie konkretnych plików z zainfekowanego urządzenia. Możliwe jest także usuwanie plików lub ich wgrywanie do urządzenia. Wszystko to przywodzi na myśl szpiegostwo przemysłowe – opisane do tej pory funkcje nie znajdują praktycznego zastosowania w takich zakrojonych na szeroką skalę operacjach, jak ataki złośliwego oprogramowania typu ransomware.

Rozprzestrzenianie się

Z uwagi na fakt, że oprogramowanie to jest nadal w fazie tworzenia i nie funkcjonuje na powszechną skalę, nie zdążyło się na razie za bardzo rozprzestrzenić. Tych kilka adresów IP, które do tej pory powiązano z oprogramowaniem Rurktar, mogło zostać przez programistę/programistów wykorzystanych jedynie w celach testowych. W miarę postępu prac sytuacja z pewnością ulegnie jednak zmianie. Adresy IP stosowane do sterowania oprogramowaniem Rurktar na odległość będą bardziej zróżnicowane i nie będzie ich można przypisać wyłącznie do Rosji, ale też do innych krajów. Wszystko to wynika z faktu, że inne podmioty rozpoczną wykorzystywanie lub adaptowanie tego złośliwego oprogramowania do innych celów w całości lub w części. Dotychczasowe doświadczenie pokazuje, że wiele złośliwych programów wykorzystywanych jest przez tak zwanych „script kiddies”, którzy sklejają ze sobą nowe przykłady złośliwego oprogramowania wykorzystując łatwo dostępne elementy przy jednoczesnych niewielkich umiejętnościach z zakresu kodowania. W ten sposób wyglądała na przykład sytuacja złośliwego oprogramowania typu ransomware nazwanego „HiddenTear”, które początkowo zostało stworzone do celów treningowych i edukacyjnych. Jego komponenty kryptograficzne nie były pozbawione wad (które wcześniej także udokumentował programista) – ale to nie przeszkodziło niektórym w wykorzystywaniu wadliwych komponentów kodujących do stworzenia „prawdziwego” złośliwego oprogramowania typu ransomware.

Wszystkie rozwiązania G DATA wykrywają poznane dotąd wersje oprogramowania Rurktar jako MSIL.Backdoor.Rurktar.A.