Die belgische Zeitung De Standaard hat aus einer geheimdienstnahen Quelle in Erfahrung bringen können, dass die Spionagesoftware Uroburos das Netzwerk der Regierungseinrichtung befallen hat. Die Sicherheitsexperten von G DATA hatten bereits im Februar 2014 vor dem hochkomplexen und fortschrittlichen Rootkit gewarnt und auf das Gefährdungspotential hingewiesen: „Uroburos ist darauf ausgelegt, in großen Netzen von Firmen, Behörden, Organisationen und Forschungseinrichtungen zu agieren.“
Was ist passiert?
Am Wochenende bestätigte das belgische Außenministerium eine Cyber-Attacke auf ihre Netzwerke. Dabei sollen „Informationen und Dokumente über die Ukraine-Krise“ aus den Netzwerken geschleust worden sein, so Belgiens Außenminister Didier Reynders. Der eigentliche Angriff auf die Einrichtung habe sich bereits vergangene Woche ereignet. Über die Täter ist bisher nichts bekannt, außer, dass diese Russisch sprechen sollen.
Die veröffentlichten Informationen legen den Schluss nahe, dass hier das Uroburos Rootkit zum Einsatz kam. Bereits im Februar 2014 haben die Sicherheitsexperten von G DATA die Spionagesoftware analysiert und die technische Komplexität aufgedeckt.
Hintergrundinformationen zu Uroburos
Das von G DATA entdeckte Rootkit mit dem Namen Uroburos arbeitet autonom und verbreitet sich selbstständig in den infizierten Netzwerken. Auch Rechner, die nicht direkt am Internet hängen, werden von diesem Schädling angegriffen. Eine solche Software kann nach Einschätzung von G Data nur mit hohen Investitionen in Personal und Infrastruktur realisiert werden. Das Design und der hohe Komplexitätsgrad des Schädlings lassen daher einen Geheimdienstursprung vermuten. Aufgrund technischer Details, wie Dateinamen, Verschlüsselung undVerhalten der Schadsoftware, besteht die Vermutung, dass Uroburos von derselben Quelle stammen könnte, die bereits 2008 eine Cyberattacke gegen die USA durchgeführt hat. Damals kam eine Schadsoftware namens „Agent.BTZ“ zum Einsatz.
Uroburos ist ein Rootkit, das aus zwei Dateien besteht, einem Treiber sowie einem verschlüsselten virtuellen Dateisystem. Mit Hilfe dieses Schadprogramms kann der Angreifer die Kontrolle über den infizierten PC bekommen, beliebigen Programmcode auf dem Computer ausführen und dabei seine Systemaktivitäten verstecken. Uroburos ist außerdem in der Lage, Daten zu stehlen und den Netzwerkdatenverkehr mitzuschneiden. Durch den modularen Aufbau können Angreifer die Schadsoftware um weitere Funktionen erweitern. Aufgrund dieser Flexibilität und Modularität wird das Rootkit von G Data als sehr fortschrittlich und gefährlich eingestuft.
Die Analyse zu Uroburos findet sich im G DATA SecurityBlog (https://blog.gdata.de/artikel/uroburos-hochkomplexe-spionagesoftware-mit-russischen-wurzeln/), ebenso wie ein detaillierter technischer Einblick in die Funktionsweise der Malware. (https://blog.gdata.de/artikel/uroburos-detaillierte-einblicke-in-die-umgehung-des-kernelschutzes/)
Weitere G DATA Informationen und Meldungen zu Uroburos:
14.05.2014: G DATA SecurityBlog - Uroburos Rootkit: Belgisches Außenministerium befallen
28.02.2014: Presseinformation: Uroburos – hochkomplexe Spionagesoftware mit russischen Wurzeln. G DATA entdeckt mutmaßliche Spionagesoftware. https://www.gdata.de/pressecenter/artikel/3522-uroburos-hochkomplexe-spiona.html
07.03.2014: Presseinformation: Update im Fall Uroburos: Schädling nutzt neue Technik um den Windows-Kernel-Schutz zu umgehen. https://www.gdata.de/pressecenter/artikel/3531-update-im-fall-uroburos-schae.html
Der ausführliche technische Report der G DATA SecurityLabs als PDF: https://www.gdata.de/rdk/dl-en-rp-Uroburos