ComputerBase Menü
Registrieren
Suche
  1. ComputerBase
  2. Betriebssystem

Uroburos: G Data entdeckt ausgefeilten Schädling

Maximilian Schlafer
43 Kommentare

Mitarbeiter der SecurityLabs von G Data haben eine hochentwickelte Schadsoftware entdeckt. Sie sei durch ungewöhnliche „Komplexität, Flexibilität und Modularität“ aufgefallen. Dementsprechend liege es nahe, dass sie vor allem auf Ziele wie Behörden- und Konzernnetzwerke angesetzt worden sei.

Das Programm soll laut seinem eigenen Quellcode die Bezeichnung „Uroburos“ tragen, weswegen der Name von den Entdeckern beibehalten wurde. Der Name „Uroburos“ stammt aus dem Griechischen und bezeichnet ein Schlangenwesen, das sich in seinen Schwanz beißt und dabei selbst verzehrt. Dies steht für ein Symbol der Zyklizität und letztlich für Unauslöschbarkeit.

Die Software soll in der Lage sein, die Kontrolle über einen befallenen Windows-Computer zu übernehmen (sowohl 32 Bit als auch 64 Bit), die eigenen Aktivitäten zu verschleiern und ist durch seine modulare Struktur außerordentlich schwierig zu bemerken. In weiterer Folge soll der Schädling fähig sein, Netzwerkverkehr mitzuschneiden und „Dateidiebstahl“ durchzuführen. Das Rootkit gliedert sich laut aktuellem Stand in zwei Dateien auf, wobei eine davon ein verschlüsseltes virtuelles Dateisystem und die andere einen Treiber beinhaltet. Eine modulare Erweiterbarkeit wird von den Entdeckern angenommen.

Die Steuerung der befallenen Rechner ist ebenso interessant. Innerhalb eines Netzwerkes kommunizieren diese Rechner direkt miteinander, so dass es ausreicht, wenn nur ein einziger davon über einen Zugang zum Internet verfügt. Über diesen können die Angreifer den Rest ansteuern und gleichzeitig das Entdeckungsrisiko auf niedrigerem Niveau halten. Jene infizierte Rechner, die keinen Internetzugang haben, sammeln derweil Informationen und reichen sie untereinander weiter, bis ein Computer mit Internetzugang erreicht wird.

Angesichts der Art und Weise der Programmierung gehen die Fachkräfte von G Data davon aus, dass sehr viel Geld für und Zeit von erfahrenen Programmierern aufgewendet wurde, um diesen Code zu erschaffen. Hierfür sprächen sowohl die Komplexität als auch die ausgeklügelte Methode, um auch Rechner ohne Internetzugang befallen zu können. Deswegen steht der Verdacht im Raum, dass die Angriffsziele vor allem Netzwerke von Behörden, Forschungseinrichtungen und großen Unternehmen sind. In der Regel sind es Geheimdienste, die an den dort zu erlangenden Informationen ein reges Interesse haben. Der Schädling ist vermutlich nicht älter als drei Jahre, da der älteste gefundene Treiber im Jahr 2011 kompiliert worden sein soll. Eine technische Analyse des Rootkits ist bei G Data (PDF) abrufbar.

Die Analytiker vermuten aufgrund diverser Indizien, dass das Rootkit aus russischen Gefilden stammt. Hierfür würde unter anderem eine Ähnlichkeit mit dem aus dem Jahr 2008 bekannten „Agent.BTZ“-Schädling sprechen, der ebenfalls russischen Quellen zugerechnet wird und den „exakt gleichen“ Verschlüsselungs-Code verwendete.

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz