Uroburos, Hydra Ukraine in action in a crisis ...

The existence of state-sponsored malware is not groundless. On May 10, 2014 and, Uroburos proved to carry out the action, and this time the victim is the Belgian Ministry of Foreign Affairs. Uroburos carry out the action of stealing the documents and information regarding the crisis in Ukraine. Similarly, a statement issued by the Foreign Minister of Belgium. Uroburos (serpent) is a malware that is sponsored by the state (state sponsored malware) that was discovered and announced in February 2014 by the Gdata analysts. The malware targets clearly not a regular user and proved successfully infect and carry out the action to steal data from the Belgian government. At the time discovered by G Data in February 2014, Uroburos not carry out the action and such other state-sponsored malware, Uroburos waiting for the right moment to carry out the action and turns on the Ukrainian crisis malware is used and is considered the Russians to be behind the action Uroburos. Uroburos created to spy on the run and large computer networks owned by large corporate companies, news agencies, government departments, authorities, security organizations and other large institutions.
Keberadaan malware yang disponsori negara bukan isapan jempol. Pada 10 Mei 2014 lalu, Uroburos terbukti menjalankan aksinya, dan kali ini korbannya adalah Departemen Luar Negeri Belgia. Uroburos menjalankan aksinya mencuri dokumen dan informasi mengenai krisis di Ukraina. Demikian pernyataan yang dikeluarkan oleh Menlu Belgia. Uroburos (ular naga) adalah malware yang disponsori oleh negara (state sponsored malware) yang ditemukan dan diumumkan pada Februari 2014 oleh analis Gdata. Sasaran malware ini jelas bukan pengguna biasa dan terbukti berhasil menginfeksi dan menjalankan aksinya mencuri data dari pemerintah Belgia. Pada saat ditemukan oleh G Data pada bulan Februari 2014, Uroburos belum menjalankan aksinya dan seperti malware yang disponsori negara lainnya, Uroburos menunggu saat yang tepat untuk menjalankan aksinya dan ternyata pada krisis Ukraina malware ini digunakan dan ditengarai pihak Rusia berada dibalik aksi Uroburos. Uroburos diciptakan untuk berjalan dan memata-matai jaringan komputer besar yang dimiliki oleh perusahaan korporat besar, kantor berita, departemen pemerintah, otorita, organisasi keamanan dan institusi besar lainnya.

According to analysts Gdata, case in Belgium is believed to be the tip of the iceberg and is considered Uroburos already carry out the action in Western European countries other.
Menurut analis Gdata, kasus di Belgia ini diyakini merupakan puncak gunung es dan ditengarai Uroburos sudah menjalankan aksinya di negara-negara Eropa Barat lainnya.

Section Uroburos
Uoroboros according to ancient Greek legend is a dragon that eats its own tail and it is a symbol of eternity as a cycle or fire bird (phoenix). Something that always berregenerasi getting better every time he dies. Apparently it is the inspired creator of the malware that allegedly originated from Russia and allegedly sourced from organizations that have the resources and unlimited funds (state) due to the complexity and difficulty of making this malware which does not allow conventional organizations make this sophisticated malware. Text string containing Ur0bUr () sGotyOu # malware found on this at the time analyzed by analysts G Data Antivirus cause he named uroburos. Uroburos allegedly has a very close relationship with malware Agent.BTZ or even a regeneration of Agent.BTZ tantrum that could make the U.S. government in 2008.

Uoroboros menurut legenda Yunani kuno adalah ular naga yang memakan ekornya sendiri dan hal ini merupakan simbol siklus atau keabadian seperti burung api (phoenix). Sesuatu yang selalu berregenerasi menjadi lebih baik setiap kali ia mati. Rupanya hal ini yang menginspirasi pembuat malware yang disinyalir berasal dari Rusia dan disinyalir bersumber dari organisasi yang memiliki sumber daya dan dana tak terbatas (negara) karena kompleksitas dan kesulitan pembuatan malware ini yang tidak memungkinkan organisasi konvensional membuat malware yang canggih ini. Teks yang mengandung string Ur0bUr()sGotyOu# ditemukan pada malware ini pada saat dianalisa oleh analis G Data Antivirus menyebabkan ia dinamai uroburos. Uroburos diduga kuat memiliki hubungan yang sangat erat dengan malware Agent.BTZ atau malahan merupakan regenerasi dari Agent.BTZ yang sempat membuat geger pemerintah Amerika di tahun 2008.

Figure 1, Logo Uroburos, serpent eating its own tail both Palembang immortality

Agent.BTZ  and Operation Buckshot Yankee

Uroburos allegedly made by the same organization as the malware authors Agent.BTZ because it would avoid the infection of computers that have been infected with malware Agent.BTZ. Agent.BTZ itself is malware ever made tantrum U.S. government in 2008 for successfully infect a computer network including a computer Pentagon Command Center and the Pentagon takes 14 months to do a thorough cleaning and result in a major overhaul at the discretion of the U.S. military computer security while that. Agent.BTZ cleaning operation of the computer known as Operation Buckshot Yankee. Agent.BTZ was first detected infected through UFD (USB Flash Drive) to a computer-based military in the Middle East. Having managed to penetrate the network, he managed to infect many computers including military computers that have the data secret. Because of this incident, the Pentagon finally banned the use of all the UFD and the like from November 2008 s / d in February 2010.
Uroburos disinyalir dibuat oleh organisasi yang sama dengan pembuat malware Agent.BTZ karena ia akan menghindari infeksi komputer yang sudah terinfeksi malware Agent.BTZ. Agent.BTZ sendiri adalah malware yang pernah membuat geger pemerintah Amerika di tahun 2008 karena berhasil menginfeksi jaringan komputer Pentagon termasuk komputer Pusat Komando Pentagon dan membutuhkan waktu 14 bulan untuk melakukan pembersihan secara tuntas serta mengakibatkan perombakan besar-besaran atas kebijakan sekuriti komputer militer Amerika Serikat saat itu. Operasi pembersihan komputer dari Agent.BTZ dikenal dengan nama Operation Buckshot Yankee. Agent.BTZ terdeteksi pertama kali menginfeksi melalui UFD (USB Flash Disk) ke komputer militer yang berbasis di Timur Tengah. Setelah berhasil melakukan penetrasi pada jaringan, ia berhasil menginfeksi banyak komputer militer termasuk komputer-komputer yang memiliki data sangat rahasia. Karena insiden ini, akhirnya Pentagon melarang penggunaan semua UFD dan sejenisnya dari November 2008 s/d Februari 2010.

Complex and sophisticated

Uroburos name is given because this malware Ur0bUr contains text () sGotyOu # the malware code (see figure 2)

Figure 2, Ur0bUr String () sGotyOu # malware in the body

The structure and design uroburos shows the complexity and unusual malware expertise possessed by the programmer / ordinary criminal organization and the possibility of a state sponsored malware, a type of malware that is created by an organization that has unlimited funds and resources and such resources is typically only owned by the state or more precise intelligence agencies. The bad news, more sophisticated variant of uroburos expected to continue to be developed and will continue to emerge in the future.

Struktur dan desain uroburos menunjukkan kompleksitas dan keahlian malware yang tidak lazim dimiliki oleh programmer / organisasi kriminal biasa dan kemungkinan merupakan state sponsored malware, jenis malware yang dibuat oleh organisasi yang memiliki dana dan sumberdaya tidak terbatas dan lazimnya sumberdaya seperti ini hanya dimiliki oleh negara atau lebih tepatnya dinas intelijen negara. Kabar buruknya, varian yang lebih canggih dari uroburos diperkirakan terus dikembangkan dan akan terus bermunculan di masa depan.

Uroburos has the capability of relaying which can still achieve its goal of stealing data and sends it via the Internet to a central command even if the infected computer is not connected directly to the internet and only connected to the intranet. With control of the infected computer, other computers in the network will be in the infection even if the computer is not connected to the internet and is only connected to the local network / intranet. This is a clear lead on the primary purpose uroburos intercepting or stealing data from victim computers. Amazingly, the data obtained from all computers on the intranet will be sent in a relay from any computer infected uroburos connected to the internet and peer to peer. Characters like this over again confirms that the malware is focused to attack computer networks on a large scale that besides targeting departments that have sensitive data also includes large corporate computer networks and computer networks of public authorities.
Uroburos memiliki kemampuan relaying dimana tetap dapat mencapai tujuannya mencuri data dan mengirimkannya melalui internet ke pusat komandonya sekalipun komputer yang diinfeksinya tidak terhubung langsung ke internet dan hanya terhubung ke intranet. Dengan mengontrol satu komputer yang terinfeksi, komputer lain dalam jaringan akan bisa di infeksi sekalipun komputer tersebut tidak terkoneksi ke internet dan hanya terhubung ke jaringan lokal / intranet. Hal ini yang jelas menuntun pada tujuan utama uroburos menyadap atau mencuri data dari komputer korbannya. Hebatnya lagi, data yang didapatkan dari semua komputer di intranet akan dikirimkan secara relay dari komputer manapun yang terinfeksi uroburos dan terhubung ke internet secara peer to peer. Karakter seperti ini lebih menegaskan lagi kalau malware ini difokuskan untuk menyerang jaringan komputer dalam skala besar yang selain mengincar departemen yang memiliki data sensitif juga termasuk jaringan komputer korporat besar dan jaringan komputer otoritas publik.

Uroburos action is controlled by a central computer command (command and control) and have the ability to peer to peer network in which all the infected computers communicate with each other both directions and can be ordered to do something to be desired from the command center. Uroburos compatible with Windows systems either 32 bit or 64 bit. And like malware Stuxnet, Duqu and Flame, sponsored by state uroburos wara Wiri allegedly carry out the action for 3 years without being detected by antivirus programs. This case, fueled by the discovery of one of the drivers who used uroburos that has existed since 2011. Uroburos first deployment itself is not known for certain, but clearly he has the ability to spread itself via spear phishing, drive by infection, UFD and other social engineering techniques. Uroburos sophistication seen in two virtual systems run concurrently on the infected computer. Both NTFS and FAT virtual system that is locally stored encrypted on the infected computer.
Aksi uroburos dikontrol oleh komputer pusat komando (command and control) dan memiliki kemampuan peer to peer dimana semua komputer yang terinfeksi saling berkomunikasi dua arah dan dapat diperintahkan untuk melakukan hal yang diinginkan dari pusat komando. Uroburos kompatibel dengan sistem Windows baik 32 bit atau 64 bit. Dan seperti malware Stuxnet, Duqu dan Flame yang disponsori oleh negara uroburos disinyalir sudah wara wiri menjalankan aksinya selama 3 tahun tanpa terdeteksi oleh program antivirus. Hal ini di dasari oleh penemuan salah satu driver yang digunakan uroburos yang sudah ada sejak tahun 2011. Penyebaran pertama uroburos sendiri tidak diketahui secara pasti namun yang jelas ia memiliki kemampuan menyebarkan diri melalui spear phishing, drive by infection, UFD dan teknik rekayasa sosial lainnya. Kecanggihan uroburos terlihat pada dua sistem virtual yang dijalankan bersamaan pada komputer yang diinfeksinya. Kedua sistem virtual NTFS dan FAT yang tersimpan secara lokal ini terenkripsi pada komputer yang diinfeksinya.

In exercise its action, uroburos using many powerful tools such as Dumper for NTML that can be used to perform action pass the hash attack that can access the administrator password and other account password without knowing the content itself and only to steal the hash used in the identification password. Any system that uses the LM (Lan Manager) or NTLM (New Technology Lan Mananger) combined with a protocol such as SMB, FTP, RPC, HTTP and other very risky to pass the hash attack. This security gap is very wide and very difficult to close because of the many possibilities available exploits well on Windows OS and apps that run on Windows OS that can be exploited. After successfully accessed using the account diincar data, it uses a data collector program as much as possible in order to receive data from the system in the infection and the stolen data will be compressed using the RAR tools. In addition, specific tools to steal data Mircosoft Office also cited as possible in order to obtain valuable data from the system in the infection.

Dalam rangka menjalankan aksinya, uroburos menggunakan banyak tools canggih seperti Dumper for NTML yang dapat digunakan untuk menjalankan aksi serangan pass the hash yang mampu mengakses password administrator dan akun lain tanpa perlu mengetahui isi password itu sendiri dan hanya dengan mencuri hash yang digunakan dalam identifikasi password. Sistem apapun yang menggunakan LM (Lan Manager) atau NTLM (New Technology Lan Mananger) yang dikombinasikan dengan protokol seperti SMB, FTP, RPC, HTTP dan lainnya sangat riskan terhadap serangan pass the hash. Celah keamanan ini sangat luas dan sulit ditutup karena sangat banyak kemungkinan eksploitasi yang tersedia baik pada OS Windows maupun aplikasi yang berjalan pada OS Windows yang bisa dieksploitasi. Setelah berhasil mengakses data menggunakan akun yang diincar, ia menggunakan program pengumpul data guna mendapatkan sebanyak mungkin data dari sistem yang di infeksinya dan data yang dicuri ini akan dikompres menggunakan RAR tools. Selain itu, tools khusus untuk mencuri data Mircosoft Office juga digelar guna mendapatkan sebanyak mungkin data berharga dari sistem yang di infeksinya.

Uroburos one weapon in the victim stealing computer data is the ability to perform PCAP (Packet Capture) and transmit the data via the HTTP protocol, ICMP, SMTP and Named Pipe that allows it to transmit data stolen even from computers that are not connected directly to the internet. (See figure 3)
Salah satu senjata andalan uroburos dalam mencuri data komputer korbannya adalah kemampuannya melakukan PCAP (Packet Capture) dan mengirimkan data melalui protokol HTTP, ICMP, SMTP dan Named Pipe yang memungkinkannya mengirimkan data curian sekalipun dari komputer yang tidak terhubung langsung ke internet. (lihat gambar 3)

Figure 3, Engineering uroburos transmit data from a computer that is not connected to the internet by using another computer that has an internet connection

A data transmission technique used peer to peer very efficient and reliable. As an illustration, if a proxy node is not available, then the other computers on the network are infected will be used instead of the computer. The bad news for administrators, proxy nodes used in the data transmission is passive and the only way to identify whole proxynode is accessing a computer command center that is certainly well protected by malware authors and are outside the network / outreach administrator.

Teknik pengiriman data peer to peer yang digunakan sangat efisien dan handal. Sebagai gambaran, jika satu proxy node tidak tersedia, maka komputer lain di dalam jaringan yang terinfeksi akan digunakan menggantikan komputer tersebut. Kabar buruknya bagi administrator, proxy node yang digunakan dalam pengiriman data ini sifatnya pasif dan satu-satunya cara untuk mengidentifikasi seluruh proxynode adalah mengakses komputer pusat komandonya yang tentunya dilindungi dengan baik oleh pembuat malware dan berada di luar jaringan / jangkauan administrator.

Source : http://vaksin.com/, 16 Mei 2014.