Uroburos: G Data entdeckt ausgefeilten Schädling
Mitarbeiter der SecurityLabs von G Data haben eine hochentwickelte Schadsoftware entdeckt. Sie sei durch ungewöhnliche „Komplexität, Flexibilität und Modularität“ aufgefallen. Dementsprechend liege es nahe, dass sie vor allem auf Ziele wie Behörden- und Konzernnetzwerke angesetzt worden sei.
Das Programm soll laut seinem eigenen Quellcode die Bezeichnung „Uroburos“ tragen, weswegen der Name von den Entdeckern beibehalten wurde. Der Name „Uroburos“ stammt aus dem Griechischen und bezeichnet ein Schlangenwesen, das sich in seinen Schwanz beißt und dabei selbst verzehrt. Dies steht für ein Symbol der Zyklizität und letztlich für Unauslöschbarkeit.
Die Software soll in der Lage sein, die Kontrolle über einen befallenen Windows-Computer zu übernehmen (sowohl 32 Bit als auch 64 Bit), die eigenen Aktivitäten zu verschleiern und ist durch seine modulare Struktur außerordentlich schwierig zu bemerken. In weiterer Folge soll der Schädling fähig sein, Netzwerkverkehr mitzuschneiden und „Dateidiebstahl“ durchzuführen. Das Rootkit gliedert sich laut aktuellem Stand in zwei Dateien auf, wobei eine davon ein verschlüsseltes virtuelles Dateisystem und die andere einen Treiber beinhaltet. Eine modulare Erweiterbarkeit wird von den Entdeckern angenommen.
Die Steuerung der befallenen Rechner ist ebenso interessant. Innerhalb eines Netzwerkes kommunizieren diese Rechner direkt miteinander, so dass es ausreicht, wenn nur ein einziger davon über einen Zugang zum Internet verfügt. Über diesen können die Angreifer den Rest ansteuern und gleichzeitig das Entdeckungsrisiko auf niedrigerem Niveau halten. Jene infizierte Rechner, die keinen Internetzugang haben, sammeln derweil Informationen und reichen sie untereinander weiter, bis ein Computer mit Internetzugang erreicht wird.
Angesichts der Art und Weise der Programmierung gehen die Fachkräfte von G Data davon aus, dass sehr viel Geld für und Zeit von erfahrenen Programmierern aufgewendet wurde, um diesen Code zu erschaffen. Hierfür sprächen sowohl die Komplexität als auch die ausgeklügelte Methode, um auch Rechner ohne Internetzugang befallen zu können. Deswegen steht der Verdacht im Raum, dass die Angriffsziele vor allem Netzwerke von Behörden, Forschungseinrichtungen und großen Unternehmen sind. In der Regel sind es Geheimdienste, die an den dort zu erlangenden Informationen ein reges Interesse haben. Der Schädling ist vermutlich nicht älter als drei Jahre, da der älteste gefundene Treiber im Jahr 2011 kompiliert worden sein soll. Eine technische Analyse des Rootkits ist bei G Data (PDF) abrufbar.
Die Analytiker vermuten aufgrund diverser Indizien, dass das Rootkit aus russischen Gefilden stammt. Hierfür würde unter anderem eine Ähnlichkeit mit dem aus dem Jahr 2008 bekannten „Agent.BTZ“-Schädling sprechen, der ebenfalls russischen Quellen zugerechnet wird und den „exakt gleichen“ Verschlüsselungs-Code verwendete.