Nachrichten, Gerüchte, Meldungen und Berichte aus der IT-Szene

Redaktion: Heinz Schmitz


Uroburos entschlüsseln

Im Februar 2014 haben die Sicherheitsexperten von G DATA vor dem hochkomplexen und fortschrittlichen Rootkit Uroburos gewarnt und auf das Gefährdungspotential hingewiesen. Im Mai 2014 ist ein Einsatz der Spionage-Software gegen das belgische Außenministerium bekannt geworden. Mit dem Auftreten von Uroburos bei staatlichen Behörden, hat der Fall weitere Brisanz gewonnen.

 

Doch wie wird eine so komplexe Spionagesoftware analysiert? Das Rootkit gehört zu den größten Herausforderungen, die die Analysten jemals knacken mussten. Aus diesem Grund erklären die Experten der G DATA SecurityLabs in ihrem aktuellen Blog-Eintrag (https://blog.gdata.de/artikel/analyse-von-uroburos-mit-windbg/), mit welchen Maßnahmen Teile von Uroburos analysiert wurden und wie eine der raffiniertesten digitalen Bedrohungen aufgebaut ist.

 

Das von G DATA entdeckte Rootkit mit dem Namen Uroburos arbeitet autonom und verbreitet sich selbstständig in den infizierten Netzwerken. Auch Rechner, die nicht direkt am Internet hängen, werden von diesem Schädling angegriffen. Eine solche Software kann nach Einschätzung von G DATA nur mit hohen Investitionen in Personal und Infrastruktur realisiert werden. Das Design und der hohe Komplexitätsgrad des Schädlings lassen daher einen Geheimdienstursprung vermuten. Aufgrund technischer Details, wie Dateinamen, Verschlüsselung, Verhalten der Schadsoftware, besteht die Vermutung, dass Uroburos von derselben Quelle stammen könnte, die bereits 2008 eine Cyberattacke gegen die USA durchgeführt hat. Damals kam eine Schadsoftware namens „Agent.BTZ“ zum Einsatz.

 

Uroburos ist ein Rootkit, das aus zwei Dateien besteht, einem Treiber sowie einem verschlüsselten virtuellen Dateisystem. Mit Hilfe dieses Schadprogramms kann der Angreifer die Kontrolle über den infizierten PC bekommen, beliebigen Programmcode auf dem Computer ausführen und dabei seine Systemaktivitäten verstecken. Uroburos ist außerdem in der Lage, Daten zu stehlen und den Netzwerkdatenverkehr mitzuschneiden. Durch den modularen Aufbau können Angreifer die Schadsoftware um weitere Funktionen erweitern. Aufgrund dieser Flexibilität und Modularität wird das Rootkit von G DATA als sehr fortschrittlich und gefährlich eingestuft.

 

Weitere Informationen unter:

https://blog.gdata.de/artikel/analyse-von-uroburos-mit-windbg/

http://tss-schmitz.de/cms1/index.php/nachrichtenleser/mutmassliche-geheimdienstsoftware-gefunden-305.html

http://tss-schmitz.de/cms1/index.php/nachrichtenleser/uroburos-befiel-belgiens-aussenministerium.html

http://tss-schmitz.de/cms1/index.php/nachrichtenleser/update-im-fall-uroburos.html

Zurück