Komplexe Spionagesoftware namens Uroburos entdeckt
Sicherheitsexperten von G Data haben eine mutmaßliche Geheimdienstsoftware entdeckt, die offenbar darauf abzielt, hochsensible und geheime Informationen von staatlichen Einrichtungen, Nachrichtendiensten und Großunternehmen zu stehlen.
Der deutsche IT-Sicherheitsdienstleister G Data hat eine mutmaßliche Geheimdienstsoftware entdeckt und analysiert, die wahrscheinlich drei Jahre unentdeckt blieb und auf russische Wurzeln hindeutet. Das Rootkit mit dem Namen Uroburos arbeitet autonom, verbreitet sich selbstständig in den infizierten Netzwerken und greift auch Rechner an, die nicht direkt mit dem Internet verbunden sind.
Laut der Analyse von G Data besteht das Rootkit aus zwei Dateien für 32- und 64-Bit-Windows-Systeme: einem Treiber sowie einem verschlüsselten virtuellen Dateisystem, über die der Angreifer die Kontrolle über den infizierten PC erhalten und auf diesem ausführen kann. Darüber hinaus soll Uroburos Daten vom Computer stehlen und den Netzwerkverkehr mitschneiden können. Durch den modularen Aufbau können Angreifer die Schadsoftware offenbar auch um weitere Funktionen erweitern.
Uroburos zielt darauf ab, in großen Netzen von Firmen, Behörden und Forschungseinrichtungen zu agieren. Der Schädling verbreitet sich selbstständig weiter und arbeitet in einem Peer-to-Peer-Modus, in dem die infizierten Computer in einem geschlossenen Netzwerk direkt miteinander kommunizieren. Die infizierten Rechner spionieren Dokumente und andere Daten aus und leiten diese an den PC mit Internetverbindung weiter. Auf diese Weise benötigen Angreifer nur einen einzigen PC mit Internetzugriff.
Laut G Data zeugen Komplexität und Design des Rootkits von einer sehr aufwendigen und kostenintensiven Entwicklung. Der Hersteller von IT-Sicherheitssoftware geht daher davon aus, dass keine Cyberkriminellen hinter der Entwicklung stehen, sondern vermutet die Urheber eher in Geheimdienstkreisen. Aufgrund technischer Details, Dateinamen, Verschlüsselung und Verhalten der Software sieht G Data einen Zusammenhang zwischen Uroburos und einer im Jahr 2008 erfolgten russischen Attacke gegen die USA. Weitere Hinweise sollen auf russischsprachige Entwickler hindeuten. Dass Uroburos schon seit drei Jahren aktiv sein könnte, schließt G Data daraus, dass der älteste Treiber im Jahr 2011 kompiliert wurde. Weitere Details finden sich im G Data Securityblog. ()
