G Data entdeckt vermutliche Spionagesoftware Uroburos

Sicherheit
Die Experten von G Data gehen davon aus das Urobuto nur große Firmen, Forschungseinrichtungen und Behörden angreift. (Bild: G Data)

Sie soll bereits seit drei Jahren im Umlauf sein. G Data SecurityLabs zufolge handelt es sich um eine wahrscheinlich von einem Geheimdienst erstellte, besonders hochentwickelte und komplexe Software mit mutmaßlich russischem Hintergrund. Wie die Software Netzwerke infiltriert, ist noch nicht bekannt.

Die Sicherheitsexperten der G Data SecurityLabs haben eine mutmaßliche Spionagesoftware entdeckt. Sie haben ihr den Namen Uroburos gegeben. Die Schadsoftware soll besonders hochentwickelt und komplex sein. Sie kann vertrauliche Informationen stehlen und soll bereits seit 2011 unerkannt aktiv sein.

Die Experten von G Data gehen davon aus das Urobuto nur große Firmen, Forschungseinrichtungen und Behörden angreift (Bild: G Data).
Die Experten von G Data gehen davon aus, dass Uroburos nur große Firmen, Forschungseinrichtungen und Behörden angreift (Bild: G Data).

Uroburos ist ein Rootkit und besteht aus zwei Dateien, einem Treiber sowie einem verschlüsselten, virtuellen Dateisystem. Kriminelle können mit diesem die Kontrolle über einen infizierten Computer erlangen sowie beliebigen Programmcode ausführen und seine Systemaktivität verstecken. Darüber hinaus kann Uroburos den Netzwerkdatenverkehr mitschneiden.

Die Schadsoftware ist modular aufgebaut und lässt sich den Sicherheitsexperten zufolge einfach um weitere Funktionen erweitern. Aus diesem Grund stufen sie Uroburos als sehr fortschrittlich und gefährlich ein. Zudem sind die Treiberkomponenten sehr komplex aufgebaut, um eine Entdeckung erheblich zu erschweren.

Aufgrund dieser technischen Komplexität vermuten die Sicherheitsexperten von G Data einen geheimdienstlichen Ursprung. Sie gehen davon aus, dass die Urheber von Uroburos bis heute an einer neuen Version des Rootkits gearbeitet haben, das bislang nicht entdeckt wurde.

Uroburos soll im “peer-to-peer”-Modus arbeiten. Infizierte Computer kommunizieren hierbei in einem geschlossenen Netzwerk direkt miteinander. Angreifer können dabei die Kommunikation steuern. Dadurch können über einen infizierten Rechner mit Zugriff auf das Internet anderen Computer im Netzwerk infiziert werden. Dabei müssen neu infizierte PCs nicht an das Internet angeschlossen sein, denn Uroburos schleust die entwendeten Daten über Rechner mit Internetanschluss hinaus.

Laut G Data ist dieses Vorgehen “typisch für Schadsoftware welche darauf ausgelegt ist, sich in großen Firmen- oder Behördennetzen zu verbreiten.” Dabei unterstützt Uroburos Microsoft Windows in der 32- als auch 64-Bit-Version. Die Sicherheitsexperten vermuten, dass große Firmen, Forschungseinrichtungen und Behörden Ziel der Schadsoftware sind.

Darüber hinaus soll eine Verbindung zu russischen Cyber-Angriffen auf die USA aus dem Jahr 2008 bestehen. Das lasse sich aus den technischen Details schließen. Die Angreifer verwendeten damals eine Schadsoftware namens “Agent.BTZ”. Uroburos überprüft Systeme darauf, ob Agent.BTZ bereits installiert ist und wird nicht weiter aktiv, wenn es installiert ist.

Wie Uroburos bislang Netzwerke infiltriert hat, ist momentan noch nicht bekannt. G Data zufolge sind unterschiedliche Wege denkbar, beispielsweise über Spear-Phishing, Drive-by-Infektionen oder Social-Engineering-Attacken. In Kürze soll auf der G-Data-Website eine tiefergehende Analyse nachgereicht werden.

Update 18 Uhr 18: Inzwischen hat das Unternehmen die umfassende Untersuchung veröffentlicht. Sie findet sich hier: https://www.gdata.de/rdk/dl-en-rp-Uroburos

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de