Uroburos: So wird eine Spionage-Software analysiert

G DATA-Sicherheitsexperten geben Einblick in ihre Arbeit

(PresseBox) (Bochum, ) Im Februar 2014 haben die Sicherheitsexperten von G DATA vor dem hochkomplexen und fortschrittlichen Rootkit Uroburos gewarnt und auf das Gefährdungspotential hingewiesen. Im Mai 2014 ist ein Einsatz der Spionage-Software gegen das belgische Außenministerium bekannt geworden. Mit dem Auftreten von Uroburos bei staatlichen Behörden, hat der Fall weitere Brisanz gewonnen.
Doch wie wird eine so komplexe Spionagesoftware analysiert? Das Rootkit gehört zu den größten Herausforderungen, die die Analysten jemals knacken mussten. Aus diesem Grund erklären die Experten der G DATA SecurityLabs in ihrem aktuellen Blog-Eintrag, mit welchen Maßnahmen Teile von Uroburos analysiert wurden und wie eine der raffiniertesten digitalen Bedrohungen aufgebaut ist.

Was die Sicherheits-Experten genau herausgefunden haben, lesen Sie hier: https://blog.gdata.de/artikel/analyse-von-uroburos-mit-windbg/

Hintergrundinformationen zu Uroburos
Das von G DATA entdeckte Rootkit mit dem Namen Uroburos arbeitet autonom und verbreitet sich selbstständig in den infizierten Netzwerken. Auch Rechner, die nicht direkt am Internet hängen, werden von diesem Schädling angegriffen. Eine solche Software kann nach Einschätzung von G DATA nur mit hohen Investitionen in Personal und Infrastruktur realisiert werden. Das Design und der hohe Komplexitätsgrad des Schädlings lassen daher einen Geheimdienstursprung vermuten. Aufgrund technischer Details, wie Dateinamen, Verschlüsselung, Verhalten der Schadsoftware, besteht die Vermutung, dass Uroburos von derselben Quelle stammen könnte, die bereits 2008 eine Cyberattacke gegen die USA durchgeführt hat. Damals kam eine Schadsoftware namens „Agent.BTZ“ zum Einsatz.

Uroburos ist ein Rootkit, das aus zwei Dateien besteht, einem Treiber sowie einem verschlüsselten virtuellen Dateisystem. Mit Hilfe dieses Schadprogramms kann der Angreifer die Kontrolle über den infizierten PC bekommen, beliebigen Programmcode auf dem Computer ausführen und dabei seine Systemaktivitäten verstecken. Uroburos ist außerdem in der Lage, Daten zu stehlen und den Netzwerkdatenverkehr mitzuschneiden. Durch den modularen Aufbau können Angreifer die Schadsoftware um weitere Funktionen erweitern. Aufgrund dieser Flexibilität und Modularität wird das Rootkit von G DATA als sehr fortschrittlich und gefährlich eingestuft.

Die Analyse zu Uroburos sowie ein Red Paper zum Thema finden sich im G DATA SecurityBlog (https://blog.gdata.de/artikel/uroburos-hochkomplexe-spionagesoftware-mit-russischen-wurzeln/), ebenso wie ein detaillierter technischer Einblick in die Funktionsweise der Malware. (https://blog.gdata.de/artikel/uroburos-detaillierte-einblicke-in-die-umgehung-des-kernelschutzes/)


Weitere G DATA Informationen und Meldungen zu Uroburos:
14.05.2014: Spionageprogramm attackierte Belgiens Außenministerium. https://www.gdata.de/pressecenter/artikel/spionageprogramm-uroburos-attackierte-belgiens-aussenministerium.html
28.02.2014: Uroburos – Hochkomplexe Spionagesoftware mit russischen Wurzeln. https://www.gdata.de/pressecenter/artikel/3522-uroburos-hochkomplexe-spiona.html
07.03.2014: Update im Fall Uroburos: Schädling nutzt neue Technik um den Windows-Kernel zu umgehen. https://www.gdata.de/pressecenter/artikel/3531-update-im-fall-uroburos-schae.html
Diese Pressemitteilung posten:

Über die G DATA Software AG

IT Security wurde in Deutschland erfunden: Die G DATA Software AG gilt als Erfinder des AntiVirus. Das 1985 in Bochum gegründete Unternehmen hat vor mehr als 25 Jahren das erste Programm gegen Computerviren entwickelt. Heute gehört G DATA zu den weltweit führenden Anbietern von IT-Security-Lösungen.

Testergebnisse beweisen: IT-Security „Made in Germany“ schützt Internetnutzer am besten. Seit 2005 testet die Stiftung Warentest InternetSecurity Produkte. In allen sieben Tests, die von 2005 bis 2014 durchgeführt wurden, erreichte G DATA die beste Virenerkennung. In Vergleichstests von AV-TEST demonstriert G DATA regelmäßig beste Ergebnisse bei der Erkennung von Computerschädlingen. Auch international wurde G DATA INTERNET SECURITY von unabhängigen Verbrauchermagazinen als bestes Internetsicherheitspaket ausgezeichnet – u.a. in Australien, Belgien, Frank-reich, Italien, den Niederlanden, Österreich, Spanien und den USA.

Das Produktportfolio umfasst Sicherheitslösungen für Endkunden, den Mittelstand und für Großunternehmen. G DATA Security-Lösungen sind weltweit in mehr als 90 Ländern erhältlich.

Weitere Informationen zum Unternehmen und zu G DATA Security-Lösungen finden Sie unter www.gdata.de

Weitere Pressemitteilungen dieses Herausgebers

Disclaimer