Spionagesoftware Uroburos könnte von russischem Geheimdienst stammen

Die G Data Security Labs berichten über eine Malware „mit russischen Wurzeln“, die durch ihren komplexen Aufbau „einen Zusammenhang mit Nachrichtendiensten nahelegt“. Sie kann Microsoft-Windows-Systeme (32-Bit sowie 64-Bit) befallen und im „Peer-to-Peer“-Modus arbeiten, um auch Rechner in einem Netzwerk auszuspähen, die selbst über keine direkte Internetanbindung verfügen. Es genügt, wenn einer der infizierten Rechner auf das Internet zugreifen und gesammelte Daten übertragen kann.

Die Sicherheitsforscher benannten die Schadsoftware Uroburos nach der Bezeichnung im Quellcode, die auf das altägyptische Bildsymbol von der sich selbst verzehrenden Schlange zurückgeht – indem sie in ihren eigenen Schwanz beißt, bildet sie mit ihrem Körper einen geschlossenen Kreis. Bei der Analyse fanden sich weiterhin Indizien auf russischsprachige Autoren.

Das war auch schon bei der Spionagesoftware Agent.BTZ der Fall, mit der 2008 eine Cyberattacke auf die USA erfolgte. In diesem Fall soll die Infektion durch „verlorene“ USB-Sticks erfolgt sein, die auf einem Parkplatz des US-Verteidigungsministeriums ausgelegt wurden. Der Vorfall führte zu einem Verbot von USB-Laufwerken und anderen Wechselspeichermedien durch die US-Armee. Laut G Data prüft Uroburus, ob bereits Agent.BTZ vorhanden ist, und installiert sich in diesem Fall nicht zusätzlich. Neben russischem Sprachgebrauch sollen beide auch technische Details wie Dateinamen, Verschlüsselung und Verhalten der Schadsoftware gemeinsam haben.

Die Sicherheitsforscher beschreiben Uroburos als ein Rootkit, das aus einem Treiber und einem verschlüsselten virtuellen Dateisystem besteht. Durch ihren modularen Aufbau sei die Schadsoftware einfach um weitere Funktionen zu erweitern. Bei der Entwicklung sei außerdem viel Wert darauf gelegt worden, dass sie nur schwer aufzufinden ist. Da der älteste Treiber 2011 kompiliert wurde, blieb sie offenbar drei Jahre lang unentdeckt.

Der Report (PDF) von G Data kommt zu dem Schluss, dass es sich bei Uroburos „um eines der hochentwickeltsten Rootkits handelt, das wir jemals analysiert haben“. Der betriebene Aufwand spreche dafür, dass die Urheber Großkonzerne, staatliche Einrichtungen, Nachrichtendienste oder vergleichbare Ziele ins Visier nahmen. Noch nicht zu ermitteln war, wie die jeweilige Erstinfektion erfolgt – infrage kommen etwa Spear-Phishing, Drive-by-Infektionen oder Social Engineering.