Gezielte Cyber-Angriffe auf staatliche Einrichtungen, Großunternehmen und internationale Organisationen haben in den vergangenen Jahren zugenommen. Erste Wahl sind hier Computerschädlinge. G DATA hat die Entwicklung eines der bekanntesten Schadprogramme über sieben Jahre verfolgt: Agent.BTZ. Das Programm wurde 2008 bei einem Cyberangriff gegen das Pentagon in den USA eingesetzt. 2014 wurde bekannt, dass das Spionageprogramm Uroburos unter anderem die belgischen und finnischen Außenministerien attackiert hat. Im November 2014 folgte dann die Entdeckung und detaillierte Analyse zum Agent.BTZ-Nachfolger ComRAT, der auch technische Ähnlichkeiten zum Spionage-Rootkit Uroburos aufweist. Bei allen Programmen konnten die G DATA Sicherheitsexperten Ähnlichkeiten und aufeinander aufbauende Programm-Codes erkennen. Doch wie gehen die Täter bei der Konzeption von Cyber-Spionage-Waffen vor? Um die Entwicklung eines hochkomplexen Spionageprogramms aufzuzeigen, haben die Experten Agent.BTZ und ComRAT genauer untersucht – insgesamt wurden 46 unterschiedliche Samples aus sieben Jahren analysiert.
„Durch die Analyse verfügen wir über Daten aus der siebenjährigen Entwicklung eines Schadprogramms, das von einer Gruppe für gezielte Angriffe auf extrem sensible Ziele wie das US-Pentagon im Jahr 2008, das belgische Außenministerium im Jahr 2014 sowie auf das finnische Außenministerium eingesetzt wurde“, erklärt Ralf Benzmüller, Leiter der G DATA SecurityLabs.
Geringfügige Änderungen in der Software
Bis auf die Version 3.00 aus dem Jahr 2012 haben die G DATA Sicherheitsexperten im Laufe der Jahre nur geringfügige Veränderungen in der Software festgestellt. So gab es Anpassungen an Windows-Versionen, Programmierfehler wurden ausgemerzt und Verschleierungsmethoden hinzugefügt. Das größte Update gab es in der Version 3.00 des RATs. Die Methoden der Angreifer lassen sich dennoch nicht lückenlos aufklären. Die Sicherheitsexperten vermuten gut ausgebildete Entwickler hinter der Malware, die wissen, wie sie ihre Spuren verwischen.
Die G DATA Analysten sind sich sicher, dass die Gruppe hinter Uroburos, Agent.BTZ und ComRAT weiterhin im Malware- und APT (Advanced Persistent Threat)-Bereich aktiv sein wird. Die neuesten Enthüllungen und Verbindungen lassen vermuten, dass in Zukunft noch weitere Angriffe zu erwarten sind.
Die detaillierte Analyse des komplexen Spionageprogramms wird im G DATA Security Blog beschrieben:
https://blog.gdata.de/artikel/weiterentwicklung-anspruchsvoller-spyware-von-agentbtz-zu-comrat/
Den Agent.BTZ-Nachfolger ComRAT haben die G DATA-Experten analysiert: https://blog.gdata.de/artikel/die-akte-uroburos-neues-ausgekluegeltes-rat-identifiziert/
Das Kapern von COM-Objekten wird im G DATA SecurityBlog genauer untersucht: https://blog.gdata.de/artikel/hijacking-von-com-objekten-persistenz-der-diskreten-art/
Die Analyse zu Uroburos steht im G DATA SecurityBlog (https://blog.gdata.de/artikel/uroburos-hochkomplexe-spionagesoftware-mit-russischen-wurzeln/) zur Verfügung, ebenso wie ein detaillierter technischer Einblick in die Funktionsweise der Malware. (https://blog.gdata.de/artikel/uroburos-detaillierte-einblicke-in-die-umgehung-des-kernelschutzes/)
„Durch die Analyse verfügen wir über Daten aus der siebenjährigen Entwicklung eines Schadprogramms, das von einer Gruppe für gezielte Angriffe auf extrem sensible Ziele wie das US-Pentagon im Jahr 2008, das belgische Außenministerium im Jahr 2014 sowie auf das finnische Außenministerium eingesetzt wurde“, erklärt Ralf Benzmüller, Leiter der G DATA SecurityLabs.
Geringfügige Änderungen in der Software
Bis auf die Version 3.00 aus dem Jahr 2012 haben die G DATA Sicherheitsexperten im Laufe der Jahre nur geringfügige Veränderungen in der Software festgestellt. So gab es Anpassungen an Windows-Versionen, Programmierfehler wurden ausgemerzt und Verschleierungsmethoden hinzugefügt. Das größte Update gab es in der Version 3.00 des RATs. Die Methoden der Angreifer lassen sich dennoch nicht lückenlos aufklären. Die Sicherheitsexperten vermuten gut ausgebildete Entwickler hinter der Malware, die wissen, wie sie ihre Spuren verwischen.
Die G DATA Analysten sind sich sicher, dass die Gruppe hinter Uroburos, Agent.BTZ und ComRAT weiterhin im Malware- und APT (Advanced Persistent Threat)-Bereich aktiv sein wird. Die neuesten Enthüllungen und Verbindungen lassen vermuten, dass in Zukunft noch weitere Angriffe zu erwarten sind.
Die detaillierte Analyse des komplexen Spionageprogramms wird im G DATA Security Blog beschrieben:
https://blog.gdata.de/artikel/weiterentwicklung-anspruchsvoller-spyware-von-agentbtz-zu-comrat/
Den Agent.BTZ-Nachfolger ComRAT haben die G DATA-Experten analysiert: https://blog.gdata.de/artikel/die-akte-uroburos-neues-ausgekluegeltes-rat-identifiziert/
Das Kapern von COM-Objekten wird im G DATA SecurityBlog genauer untersucht: https://blog.gdata.de/artikel/hijacking-von-com-objekten-persistenz-der-diskreten-art/
Die Analyse zu Uroburos steht im G DATA SecurityBlog (https://blog.gdata.de/artikel/uroburos-hochkomplexe-spionagesoftware-mit-russischen-wurzeln/) zur Verfügung, ebenso wie ein detaillierter technischer Einblick in die Funktionsweise der Malware. (https://blog.gdata.de/artikel/uroburos-detaillierte-einblicke-in-die-umgehung-des-kernelschutzes/)
