Viestintävirasto sai tiedon Uroburos-ohjelmasta Saksasta, missä tietoturvayhtiö G Data on julkaissut raportin havaitsemastastaan haittaohjelmasta. Ohjelman nimi perustuu haittaohjelmasta löytyneeseen merkkijonoon.
Viestintäviraston mukaan kyseessä on teknisesti erittäin monimutkainen haittaohjelma.
– Haittaohjelman tekijöillä on nähtävästi ollut käytettävissään laajat ja korkealaajuiset resurssit. Tämän tason resurssit liitetään tyypillisesti valtiollisiin toimijoihin, Viestintävirasto huomauttaa.
Esimerkkejä ohjelman teknisistä ominaisuuksista ovat muun muassa sen käyttämä salattu virtuaalinen tiedostojärjestelmä ja kyky muokata käyttöjärjestelmän funktioita suorituksen aikana. Lisäksi se kykenee suorittamaan mielivaltaisia tunkeutujan komentoja ja piiloutumaan etsijöiltä tehokkaasti.
Haittaohjelman modulaarinen rakenne mahdollistaa uusien ominaisuuksien lisäämisen ja toiminnan muokkaamisen pitkän ajan kuluessa saastumisen jälkeenkin. Haittaohjelma näyttää olevan suunniteltu toimimaan myös ympäristöissä, joista ei ole suoraa yhteyttä julkisiin tietoverkkoihin. Uroburoksen saastuttamat tietokoneet muodostavat keskenään vertaisverkon, jonka mikä tahansa solmu kykenee toimimaan välityspalvelimena ja kommunikoimaan komentopalvelimen kanssa.
Toistaiseksi ei ole varmuutta siitä, miten Uroburos saastuttaa uhrinsa. Haittaohjelmaa uskotaan kuitenkin käytettävän kohdistettuihin haittaohjelmahyökkäyksiin, eikä siitä ole ollut julkisia havaintoja aikaisemmin. Koska Uroburoksen kehittäminen on vaatinut huomattavia resursseja, haittaohjelman kohteena uskotaan olevan valtionhallintoja, tutkimuslaitoksia tai suuria yrityksiä.
Raportissaan saksalaiset tutkijat viittaavat Agent.BTZ-haittaohjelmaan, jonka on spekuloitu liittyvän venäläisiin toimijoihin.
Ohjelmakoodista löydettyjen aikaleimojen perusteella haittaohjelman uskotaan olleen toiminnassa jo vuodesta 2011 lähtien.
Viestintäviraston Kyberturvallisuuskeskus on pyytänyt G Datalta lisätietoja asiaan liittyen.
