Uroburos

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

Uroburos ist ein Rootkit, das aus zwei Dateien besteht, einem Treiber und einem verschlüsselten virtuellen Dateisystem. Es wurde von IT-Sicherheits-Experten der Firma G Data Ende Februar 2014 entdeckt. Nach deren Einschätzung handelt es sich um das fortschrittlichste Stück Schadsoftware, das sie je in diesem Umfeld analysiert haben. Der älteste Treiber, welcher bei der Analyse gefunden wurde, ist 2011 kompiliert worden. Dies deutet darauf hin, dass das Schadprogramm seit drei Jahren aktiv ist und so lange unbemerkt geblieben ist. Die Angriffe können über vielfältige Wege geschehen, z.B. über Spear-Phishing, Drive-by-Infektionen oder Social-Engineering-Attacken. Der Name "Uroburos" geht auf eine Bezeichnung im Quellcode zurück. Er könnte sich anlehnen an das alte griechische Symbol Uroboros, das eine Schlange oder einen Drachen zeigt, der seinen eigenen Schwanz frisst.

Im August 2014 meldete Kaspersky Lab das Schadprogramm "Epic" als möglichen Träger der Erstinfektion und beschreibt im Detail den Infektionsweg[1]. Im Dezember 2014 meldete ebenfalls Kaspersky Lab das Schadprogramm "Turla" als quasi Linux-Gegenstück zu Uroburos[2]. Im Juni 2016 lagen dem Bundesamt für Verfassungsschutz (BfV) Erkenntnisse vor, nach denen deutsche Rüstungsunternehmen ins Visier der elektronischen Spionagekampagne Snake/Uroburos geraten sein könnten[3], weitere Unternehmen und auch Behörden wurden über eine Veröffentlichung gewarnt.

Funktion

Mit Hilfe des Schadprogramms kann der Angreifer die Kontrolle über den infizierten PC bekommen, beliebigen Programmcode auf dem Computer ausführen und dabei seine Systemaktivitäten verstecken. Uroburos ist außerdem in der Lage, Daten zu stehlen und den Netzwerkdatenverkehr mitzuschneiden. Durch den modularen Aufbau können Angreifer die Schadsoftware um weitere Funktionen erweitern.

Die Schadcodeentwickler wenden eine neue Kombination von Techniken an, mit denen der Schädling zentrale Sicherheitsmechanismen im Kern von Windows 64-Bit-Systemen, dem Kernel überwindet. Einmal auf dem PC eingeschleust, überwindet Uroburos die sogenannte Kernel Patch Protection – auch PatchgGuard genannt - die das Herzstück von Windows 64-Bit-Betriebssystemen absichert und Veränderungen an diesem verhindern soll. Der Schadcode manipuliert den Kernel und versetzt ihn in den „Test Modus“. Das Rootkit kann sich dort ungehindert einnisten und wird vom Betriebssystem als valider Systemtreiber akzeptiert.

Dieser „Test Modus“ ist für Treiber-Entwickler gedacht, die so auch unsignierte Treiber verwenden können, um sie während der Entwicklungsphase zu überprüfen. Die Schadcode-Autoren nutzen das Verfahren, um die Treiber-Verifizierungen zu deaktivieren. Uroburos kann so direkt als Treiber in den Betriebssystemkern eingeschleust werden, um dort sensible Daten auszuspionieren.


Risikobewertung

Aufgrund dieser Flexibilität und Modularität wird das Rootkit von G Data als sehr fortschrittlich und gefährlich eingestuft.

Die Komplexität und das Design von Uroburos zeugen von einer sehr aufwendigen und kostenintensiven Entwicklung des Schadprogramms, an der sehr gut ausgebildete Entwickler, vermutlich bei einem Geheimdienst, beteiligt waren. Möglicherweise haben die Programmierer ein noch fortschrittlicheres Rootkit entwickelt, das bisher noch nicht entdeckt worden ist. Uroburos ist darauf ausgelegt in großen Netzen von Firmen, Behörden, Organisationen und Forschungseinrichtungen zu agieren.


Besonderheiten

Das Schadprogramm verbreitet sich selbstständig weiter und arbeitet in einem „peer-to-peer“ Modus, dabei kommunizieren die infizierten Computer in einem geschlossenen Netzwerk direkt miteinander. Die Täter brauchen dabei nur einen einzigen Rechner mit Internetzugriff. Das Muster zeigt, dass die Angreifer den Umstand berücksichtigen, dass in Netzwerken oft auch PCs eingebunden sind, die nicht ans Internet angeschlossen sind. Die infizierten Rechner spionieren Dokumente und andere Daten aus und leiten diese an den PC mit der Internetverbindung weiter, hierüber werden alle zusammengetragenen Informationen an den Angreifer übermittelt. Uroburos unterstützt dabei sowohl 32- als auch 64-Bit Windows-Systeme. Uroburos überprüft die infizierten Systeme darauf, ob das Schadprogramm bereits installiert ist, in diesem Fall wird das Rootkit nicht aktiv.


Herkunft

Aufgrund technischer Details, Dateinamen, Verschlüsselung und dem Verhalten der Schadsoftware, sehen die G Data Experten einen Zusammenhang zwischen Uroburos und einer im Jahr 2008 erfolgten Cyberattacke gegen die USA - vermutlich stecken die gleichen Drahtzieher hinter den damaligen Angriffen und dem jetzt entdecktem Rootkit. Damals kam die Schadsoftware „Agent.BTZ“ zum Einsatz. Es gibt außerdem Hinweise darauf, dass die Entwickler beider Schadprogramme Russisch sprechen.


Angriffsziele

Die Analyse zeigt, dass das Ziel der Angreifer nicht einfache Internetnutzer sind. Der hohe Aufwand ist nur bei lohnenden Zielen gerechtfertigt, also Großkonzernen, staatlichen Einrichtungen, Nachrichtendiensten, Organisationen oder vergleichbaren Zielen[4][5].


Einzelnachweis

  1. SecuPedia Aktuell: Cyberspionagekampagne Epic Turla auch in Deutschland und der Schweiz aktiv
  2. SecuPedia Aktuell: Linux-Trojaner soll Teil der Epic/Turla-Angriffe gewesen sein
  3. SecuPedia Aktuell: Russische Cyberangriffskampagne Snake/Uroburos unvermindert aktiv
  4. Pressemeldung G Data: Uroburos - hochkomplexe Spionagesoftware mit russischen Wurzeln
  5. "Komplexe Spionagesoftware namens Uroburos entdeckt" in heise.de/Security vom 01.März.2014


Weblinks


Siehe übergeordnete Stichworte


Siehe auch



Diese Seite wurde zuletzt am 8. März 2017 um 13:30 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Peter Hohl und Norbert Luckhardt.

Anzeigen