Zurück

Uroburos - hochkomplexe Spionagesoftware mit russischen Wurzeln

G Data entdeckt mutmaßliche Geheimdienstsoftware

Die Sicherheitsexperten der G Data SecurityLabs haben eine extrem hochentwickelte und komplexe Schadsoftware analysiert, deren Ziel der Diebstahl von vertraulichen Informationen ist. Die Schadsoftware wurde von G Data entsprechend der Bezeichnung im Quellcode auf den Namen Uroburos getauft, angelehnt an ein altes griechisches Symbol einer Schlange oder eines Drachen welcher seinen eigenen Schwanz frisst.

Was ist Uroburos?

 Bei Uroburos handelt es sich um ein Rootkit welches aus zwei Dateien besteht, einem Treiber sowie einem verschlüsselten virtuellen Dateisystem. Mit Hilfe dieses Rootkits kann der Angreifer die Kontrolle über den infizierten PC bekommen und so beliebigen Programmcode auf dem Computer ausführen sowie seine Systemaktivitäten verstecken. Weitere Funktionen von Uroburos sind die Möglichkeit des Dateidiebstahls sowie der Mitschnitt von Netzwerkdatenverkehr. Durch den modularen Aufbau kann die Schadsoftware einfach um weitere Funktionen erweitert werden. Aufgrund dieser Flexibilität und Modularität wird das Rootkit von den Experten als sehr fortschrittlich und gefährlich eingestuft werden. Ein weiterer Anhaltspunkt für diese Einstufung ist der extrem komplexe Aufbau der Treiberkomponente bei deren Entwicklung sehr viel Wert darauf gelegt wurde, dass die Schadsoftware extrem schwierig aufzufinden ist.

Technische Komplexität lässt Geheimdienstursprung vermuten

Die Investition, ein Framework wie Uroburos zu entwickeln, ist extrem hoch. Bei dem Entwicklerteam hinter dieser Schadsoftware handelt es sich offensichtlich um sehr gut ausgebildete Computerexperten. Dies ist an der Struktur und dem fortschrittlichen Design des Rootkits zu erkennen. Wir glauben, dass das Entwicklerteam hinter Uroburos die Zeit bis heute genutzt hat, um ein noch fortschrittlicheres Rootkit zu entwickeln, das bislang noch unentdeckt geblieben ist.

Uroburos wurde entwickelt, um im „peer-to-peer“ Modus zu arbeiten. Hierbei kommunizieren infizierte Computer in einem geschlossenen Netzwerk direkt miteinander wobei die Kommunikation durch den Angreifer gesteuert werden kann. Durch diese Fähigkeit ist es ausreichend wenn ein einziger infizierter Rechner Zugriff auf das Internet hat. Der Angreifer kann über diesen Rechner andere Computer in dem Netzwerk infizieren und mit diesen anschließend über den infizierten Rechner kommunizieren. Dies funktioniert selbst wenn der frisch infizierte Computer nicht selber über eine Internetverbindung verfügt. Uroburos ist in der Lage seine Spionagefunktionalität auf allen diesen Computern einzusetzen und die dabei gewonnenen Informationen über weitere infizierte Rechner im infiltrierten Netzwerk aus diesem heraus zu schleusen. Sobald die Informationen an einem infizierten Rechner mit Internetanbindung angelangt sind, können diese an den Angreifer übermittelt werden. Die beschriebene Funktionalität ist typisch für Schadsoftware welche darauf ausgelegt ist, sich in großen Firmen- oder Behördennetzen zu verbreiten. Die Angreifer gehen davon aus, dass in dem Netzwerk Computer vorhanden sind, welche keine direkte Internetverbindung besitzen und benutzen diese Technik um über Umwege trotzdem an ihr Ziel zu gelangen.

Uroburos unterstützt dabei sowohl 32- als auch 64-Bit Microsoft Windows Systeme. Aufgrund der Komplexität der Schadsoftware und der darin enthaltenen Spionagefunktionalität vermuten wir, dass dieses Rootkit hauptsächlich große Firmen, Forschungseinrichtungen sowie Behörden ins Visier nimmt.

Verbindung zu russischer Attacke gegen die USA vermutet

Aufgrund technischer Details (Dateinamen, Verschlüsselung, Verhalten der Schadsoftware sowie weiterer im Artikel genannter Fakten) besteht die Vermutung, dass die Gruppe hinter Uroburos identisch ist, mit der Gruppe welche 2008 eine Cyberattacke gegen die USA durchgeführt hat. Damals kam eine Schadsoftware namens „Agent.BTZ“ zum Einsatz. Uroburos überprüft Systeme darauf, ob Agent.BTZ bereits installiert ist und wird nicht weiter aktiv, wenn Agent.BTZ installiert ist. Wir fanden außerdem Indizien, die darauf hindeuten, dass die Autoren von Uroburos russisch sprechen. Diese Beobachtung unterstützt den Zusammenhang zum Agent.BTZ-Fall aus 2008. Es existieren zusätzlich öffentlich zugängliche Zeitungsberichte die den Gebrauch der russischen Sprache im Agent.BTZ-Fall untermauern.

Aus den aus der Analyse gewonnenen Informationen wird klar, dass das Ziel von Uroburos nicht der Otto-Normal-Benutzer ist. Der betriebene Aufwand ist nur bei lohnenswerten Zielen gerechtfertigt, also Großkonzernen, staatlichen Einrichtungen, Nachrichtendiensten oder vergleichbaren Zielen. 

Wahrscheinlich seit über drei Jahren unentdeckt

Beim Uroburos Rootkit handelt es sich um das fortschrittlichste Stück Schadsoftware, das wir je in diesem Umfeld analysiert haben. Der älteste Treiber, welcher bei der Analyse gefunden wurde, ist 2011 kompiliert worden. Dies deutet darauf hin, dass die Kampagne seit etwa drei Jahren unentdeckt geblieben ist.

Infektionsvektor bleibt unklar

Wie Uroburos ein High-Profile Netzwerk initial infiltriert, lässt sich nach aktuellem Stand nicht ermitteln. Die Angriffe können über vielfältige Wege geschehen, z.B. über Spear-Phishing, Drive-by-Infektionen, Social Engineering Attacken oder andere Wege.