Badhoevedorp, 19 januari 2015
Doelgerichte cyberaanvallen op overheidsinstellingen, bedrijven en internationale organisaties zijn in de afgelopen jaren talrijk geworden. Malware is het populairste wapen geworden in de misdaad en spionage. Gedurende zeven jaar heeft G DATA de ontwikkeling van één van de bekendste en meest succesvolle schadelijke programma’s gevolgd: Agent.BTZ. In 2008 werd de malware gebruikt in een cyberaanval op het Amerikaanse Pentagon. In 2014 werd de spyware Uroburos ingezet om de Belgische en Finse ministeries van Buitenlandse zaken te bespioneren. In november 2014 werd ComRAT (de nieuwste generatie van Agent.BTZ) ontdekt en geanalyseerd, waarbij de verbanden tussen Agent.BTZ, Uroburos en ComRAT zonder twijfel konden worden aangetoond. In alle malware samples vonden de analisten dezelfde stukken programmeringscode en andere technische overeenkomsten. In een analyse van 46 verschillende malware samples die een periode van zeven jaar bestrijken tonen de malware-analisten van G DATA aan hoe complex de malware in elkaar zit.
“Als resultaat van de analyse hebben we nu gedetailleerde informatie over zeven jaar ontwikkeling van malware die door één groep is gebruikt om gerichte aanvallen uit te voeren op gevoelige doelwitten zoals het Pentagon en verschillende buitenlandse ministeries,” legt Ralf Benzmüller, hoofd van het G DATA SecurityLab uit.
Kleine veranderingen aan de software
Tot versie 3.00 in 2012 zien de experts van G DATA steeds maar minimale veranderingen aan de code van de software. Er werden aanpassingen voor nieuwe versies van Windows aangebracht, programmeringsfouten werden verbeterd en er werden additionele maskeringsmethoden toegevoegd. De grootste update vond plaats met versie 3.00, waarin de Remote Access Tool (RAT) werd toegevoegd. De methoden van de malwareschrijvers is niet geheel te achterhalen. De malwarespecialisten vermoeden dat goed getrainde ontwikkelaars met diepe kennis over het uitwissen van sporen achter de malware zitten.
De G DATA-analisten zijn er zeker van dat de groep achter Uroburos, Agent.BTZ en ComRat nog altijd actief is in het veld van Advanced Persistent Threats (APT’s). De nieuwste ontdekkingen en links leiden tot speculatie over nog te ontdekken aanvallen.
De details van de analyse van de complexe malware is omschreven in het G DATA SecurityBlog:
https://blog.gdatasoftware.com/blog/article/evolution-of-sophisticated-spyware-from-agentbtz-to-comrat.html
G DATA’s experts hebben ComRAT, de opvolger van Agent.BTZ, geanalyseerd:
https://blog.gdatasoftware.com/blog/article/the-uroburos-case-new-sophisticated-rat-identified.html
Het kapen van COM-objecten is uitgebreider beschreven in deze blogpost:
https://blog.gdatasoftware.com/blog/article/com-object-hijacking-the-discreet-way-of-persistence.html
Een uitgebreide analyse van de Uroburos spyware is te vinden via:
https://blog.gdatasoftware.com/blog/article/uroburos-highly-complex-espionage-software-with-russian-roots.html. Een gedetailleerde uiteenzetting van de functionaliteiten van Uroburos vindt u hier:
https://blog.gdatasoftware.com/blog/article/uroburos-deeper-travel-into-kernel-protection-mitigation.html
Over G DATA
IT beveiliging is in Duitsland uitgevonden: G DATA Software AG wordt gezien als de uitvinder van antivirus. Meer dan 25 jaar geleden ontwikkelde het bedrijf, dat in 1985 in Bochum werd opgericht, het eerste programma dat de strijd aanbond met computervirussen. Tegenwoordig is G DATA één van ’s werelds leidende leveranciers van IT-beveiligingsoplossingen.
Testresultaten bewijzen dat “Made In Germany” IT-beveiliging internetgebruikers de best mogelijke bescherming biedt. Consumentenbonden over de hele wereld testen sinds 2005 internet security-oplossingen. G DATA won acht van de testen van Nederlandse Consumentenbond. Ook internationaal werden vele overwinningen behaald, waaronder in Australië, België, Duitsland, Frankrijk, Italië, Oostenrijk, Spanje en de Verenigde Staten.
Het productportfolio bevat beveiligingsoplossingen voor consumenten, kleine zelfstandigen, het MKB en grote ondernemingen. G DATA’s beveiligingsoplossingen zijn wereldwijd verkrijgbaar in meer dan 90 landen.
Meer informatie over G DATA en zijn oplossingen is te vinden via
www.gdata.nl en
www.gdata.be.