Im Februar 2014 haben die Sicherheitsexperten von G DATA vor dem hochkomplexen und fortschrittlichen Rootkit Uroburos gewarnt und auf das Gefährdungspotential hingewiesen. Im Mai 2014 ist ein Einsatz der Spionage-Software gegen das belgische Außenministerium bekannt geworden. Mit dem Auftreten von Uroburos bei staatlichen Behörden, hat der Fall weitere Brisanz gewonnen.
Doch wie wird eine so komplexe Spionagesoftware analysiert? Das Rootkit gehört zu den größten Herausforderungen, die die Analysten jemals knacken mussten. Aus diesem Grund erklären die Experten der G DATA SecurityLabs in ihrem aktuellen Blog-Eintrag, mit welchen Maßnahmen Teile von Uroburos analysiert wurden und wie eine der raffiniertesten digitalen Bedrohungen aufgebaut ist.
Was die Sicherheits-Experten genau herausgefunden haben, lesen Sie hier: https://blog.gdata.de/artikel/analyse-von-uroburos-mit-windbg/
Hintergrundinformationen zu Uroburos
Das von G DATA entdeckte Rootkit mit dem Namen Uroburos arbeitet autonom und verbreitet sich selbstständig in den infizierten Netzwerken. Auch Rechner, die nicht direkt am Internet hängen, werden von diesem Schädling angegriffen. Eine solche Software kann nach Einschätzung von G DATA nur mit hohen Investitionen in Personal und Infrastruktur realisiert werden. Das Design und der hohe Komplexitätsgrad des Schädlings lassen daher einen Geheimdienstursprung vermuten. Aufgrund technischer Details, wie Dateinamen, Verschlüsselung, Verhalten der Schadsoftware, besteht die Vermutung, dass Uroburos von derselben Quelle stammen könnte, die bereits 2008 eine Cyberattacke gegen die USA durchgeführt hat. Damals kam eine Schadsoftware namens „Agent.BTZ“ zum Einsatz.
Uroburos ist ein Rootkit, das aus zwei Dateien besteht, einem Treiber sowie einem verschlüsselten virtuellen Dateisystem. Mit Hilfe dieses Schadprogramms kann der Angreifer die Kontrolle über den infizierten PC bekommen, beliebigen Programmcode auf dem Computer ausführen und dabei seine Systemaktivitäten verstecken. Uroburos ist außerdem in der Lage, Daten zu stehlen und den Netzwerkdatenverkehr mitzuschneiden. Durch den modularen Aufbau können Angreifer die Schadsoftware um weitere Funktionen erweitern. Aufgrund dieser Flexibilität und Modularität wird das Rootkit von G DATA als sehr fortschrittlich und gefährlich eingestuft.
Die Analyse zu Uroburos sowie ein Red Paper zum Thema finden sich im G DATA SecurityBlog (https://blog.gdata.de/artikel/uroburos-hochkomplexe-spionagesoftware-mit-russischen-wurzeln/), ebenso wie ein detaillierter technischer Einblick in die Funktionsweise der Malware. (https://blog.gdata.de/artikel/uroburos-detaillierte-einblicke-in-die-umgehung-des-kernelschutzes/)
Weitere G DATA Informationen und Meldungen zu Uroburos:
14.05.2014: Spionageprogramm attackierte Belgiens Außenministerium. https://www.gdata.de/pressecenter/artikel/spionageprogramm-uroburos-attackierte-belgiens-aussenministerium.html
28.02.2014: Uroburos – Hochkomplexe Spionagesoftware mit russischen Wurzeln. https://www.gdata.de/pressecenter/artikel/3522-uroburos-hochkomplexe-spiona.html
07.03.2014: Update im Fall Uroburos: Schädling nutzt neue Technik um den Windows-Kernel zu umgehen. https://www.gdata.de/pressecenter/artikel/3531-update-im-fall-uroburos-schae.html
Doch wie wird eine so komplexe Spionagesoftware analysiert? Das Rootkit gehört zu den größten Herausforderungen, die die Analysten jemals knacken mussten. Aus diesem Grund erklären die Experten der G DATA SecurityLabs in ihrem aktuellen Blog-Eintrag, mit welchen Maßnahmen Teile von Uroburos analysiert wurden und wie eine der raffiniertesten digitalen Bedrohungen aufgebaut ist.
Was die Sicherheits-Experten genau herausgefunden haben, lesen Sie hier: https://blog.gdata.de/artikel/analyse-von-uroburos-mit-windbg/
Hintergrundinformationen zu Uroburos
Das von G DATA entdeckte Rootkit mit dem Namen Uroburos arbeitet autonom und verbreitet sich selbstständig in den infizierten Netzwerken. Auch Rechner, die nicht direkt am Internet hängen, werden von diesem Schädling angegriffen. Eine solche Software kann nach Einschätzung von G DATA nur mit hohen Investitionen in Personal und Infrastruktur realisiert werden. Das Design und der hohe Komplexitätsgrad des Schädlings lassen daher einen Geheimdienstursprung vermuten. Aufgrund technischer Details, wie Dateinamen, Verschlüsselung, Verhalten der Schadsoftware, besteht die Vermutung, dass Uroburos von derselben Quelle stammen könnte, die bereits 2008 eine Cyberattacke gegen die USA durchgeführt hat. Damals kam eine Schadsoftware namens „Agent.BTZ“ zum Einsatz.
Uroburos ist ein Rootkit, das aus zwei Dateien besteht, einem Treiber sowie einem verschlüsselten virtuellen Dateisystem. Mit Hilfe dieses Schadprogramms kann der Angreifer die Kontrolle über den infizierten PC bekommen, beliebigen Programmcode auf dem Computer ausführen und dabei seine Systemaktivitäten verstecken. Uroburos ist außerdem in der Lage, Daten zu stehlen und den Netzwerkdatenverkehr mitzuschneiden. Durch den modularen Aufbau können Angreifer die Schadsoftware um weitere Funktionen erweitern. Aufgrund dieser Flexibilität und Modularität wird das Rootkit von G DATA als sehr fortschrittlich und gefährlich eingestuft.
Die Analyse zu Uroburos sowie ein Red Paper zum Thema finden sich im G DATA SecurityBlog (https://blog.gdata.de/artikel/uroburos-hochkomplexe-spionagesoftware-mit-russischen-wurzeln/), ebenso wie ein detaillierter technischer Einblick in die Funktionsweise der Malware. (https://blog.gdata.de/artikel/uroburos-detaillierte-einblicke-in-die-umgehung-des-kernelschutzes/)
Weitere G DATA Informationen und Meldungen zu Uroburos:
14.05.2014: Spionageprogramm attackierte Belgiens Außenministerium. https://www.gdata.de/pressecenter/artikel/spionageprogramm-uroburos-attackierte-belgiens-aussenministerium.html
28.02.2014: Uroburos – Hochkomplexe Spionagesoftware mit russischen Wurzeln. https://www.gdata.de/pressecenter/artikel/3522-uroburos-hochkomplexe-spiona.html
07.03.2014: Update im Fall Uroburos: Schädling nutzt neue Technik um den Windows-Kernel zu umgehen. https://www.gdata.de/pressecenter/artikel/3531-update-im-fall-uroburos-schae.html
