HOME

Neue Schadsoftware Uroburos: Was hinter dem gefährlichen Trojaner aus Russland steckt

Ein neuer Supervirus infiziert ganze Netzwerke, fischt Daten ab und bringt Rechner unter seine Kontrolle. Er hört auf den Namen Uroburos und gilt als einer der gefährlichsten Trojaner aller Zeiten.

Von Christoph Fröhlich

Seit Jahrtausenden gibt es den Mythos einer riesigen Schlange, die sich in ihren eigenen Schwanz beißt und so einen geschlossenen Kreis bildet. Schon die alten Ägypter glaubten an jenes Fabelwesen, das den Tod und die Wiedergeburt zugleich symbolisiert. Der griechische Philosoph Platon beschrieb es später als "Uroburos", was so viel bedeutet wie "Selbstverzehrer". Es hat keine Außenwahrnehmung, braucht keine Nahrung, es kreist nur in und um sich selbst. Es ist der Inbegriff der Ewigkeit. Nun ist das mythologische Wesen in der Moderne angekommen: Forscher des Sicherheitsanbieters G Data haben eine hochkomplexe und gefährliche Schadsoftware entdeckt, die nach der selbstverschlingenden Schlange benannt ist. Der Uroburos-Trojaner kann unbemerkt riesige Computernetzwerke infiltrieren, und braucht dazu nicht einmal das Internet. Er gilt als eines der gefährlichsten Programme aller Zeiten.

Hochkomplex und gefährlich

Technisch gesehen handelt es sich bei Uroburos um ein Rootkit. Das ist eine Art Virus, der sich so tief ins Betriebssystem einnistet, dass er nur schwer entdeckt und entfernt werden kann. Uroburos besteht aus zwei Dateien, einem Treiber, der die Software nahezu unsichtbar macht, und einem verschlüsselten Dateisystem. Damit ist es dem Angreifer möglich, die Kontrolle über einen infizierten PC zu erlangen und anschließend einen beliebigen Programmcode auf dem Computer auszuführen.

Außerdem kann der Trojaner den Netzwerkdatenverkehr mitschneiden und persönliche Daten stehlen. "Durch den modularen Aufbau kann die Schadsoftware einfach um weitere Funktionen erweitert werden", schreibt der Sicherheitsexperte Ralf Benzmüller, der das Tool fast ein Jahr lang untersucht hat. Seine Analysen hat er online in einem Report zur Verfügung gestellt. Sein Fazit: "Beim Uroburos-Rootkit handelt es sich um das fortschrittlichste Stück Schadsoftware, das wir je in diesem Umfeld analysiert haben."

Uroburos baut eigenes Netzwerk auf

Besonders gefährlich: Uroburos arbeitet im sogenannten "Peer to Peer"-Modus. Das heißt, mit der Schadsoftware infizierte Computer stehen innerhalb eines geschlossenen Netzwerks direkt miteinander in Kontakt. "Durch diese Fähigkeit ist es ausreichend, wenn ein einziger infizierter Rechner Zugriff auf das Internet hat", sagt Benzmzüller. "Der Angreifer kann über diesen Rechner andere Computer in dem Netzwerk infizieren und mit diesen anschließend kommunizieren. Dies funktioniert selbst, wenn der frisch infizierte Computer nicht über eine eigene Internetverbindung verfügt."

Die Software ist somit in der Lage, seine Spionagefunktionen auf allen infizierten Rechnern in dem Netzwerk einzusetzen. Die von Computern ohne Internetverbindung abgezapften Informationen werden über das eigene Netzwerk anschließend direkt an den Angreifer geschleust. Der Nutzer des PCs bekommt von alldem nichts mit: Antivirenprogramme schlagen keinen Alarm, handelsübliche Firewalls sind nutzlos.

Stecken russische Hacker hinter Uroburos?

"Die beschriebene Funktionalität ist typisch für Schadsoftware, die darauf ausgelegt ist, sich in großen Firmen- oder Behördennetzen zu verbreiten. Die Angreifer gehen davon aus, dass in dem Netzwerk Computer vorhanden sind, die keine direkte Internetverbindung besitzen, und benutzen diese Technik, um über Umwege trotzdem an ihr Ziel zu gelangen", erklärt Benzmüller. Das Ziel des Trojaners sind daher keine PCs von Privatpersonen, sondern Netzwerke von Organisationen und Regierungen.

Der Aufbau des Virus sei so komplex, dass die Kosten für die Entwicklung der Schadsoftware extrem hoch gewesen sein müssten, mutmaßt der Experte. Hinter dem Trojaner stecken vermutlich russische Computerexperten, die sehr gut ausgebildet wurden und bereits Erfahrung in der Programmierung von Superviren haben: Im Jahr 2008 wurde ein Spionagetool namens "Agent.BTZ" enttarnt, das für Cyberangriffe auf das Pentagon genutzt wurde. US-Medien zufolge benötigten die Streitkräfte damals Monate, um den Schädling von den Computern zu entfernen.

Der neue Supervirus überprüft die Computer zunächst darauf, ob Agent.BTZ bereits installiert ist. Ist dies der Fall, wird Uroburos nicht aktiv. "Wir fanden außerdem Indizien, die darauf hindeuten, dass die Autoren von Uroburos russisch sprechen. Diese Beobachtung unterstützt den Zusammenhang zum Agent.BTZ-Fall aus 2008", schreiben die G-Data-Analysten. Wie Uroburos auf die Computer gelangt, wo die Software überall eingesetzt wird und in wessen Auftrag die Hacker handeln, ist bislang unklar.

Am Nachfolger wird bereits gearbeitet

Der älteste Treiber, den die Experten bei der Analyse von Uroburos finden konnten, ist von 2011. Das deutet darauf hin, dass die Software seit etwa drei Jahren unentdeckt geblieben ist. Womöglich arbeiten die Köpfe dahinter längst am Nachfolger, vermutet Benzmüller: "Wir glauben, dass das Entwicklerteam hinter Uroburos die Zeit bis heute genutzt hat, um ein noch fortschrittlicheres Rootkit zu entwickeln, das bislang noch unentdeckt geblieben ist."

Themen in diesem Artikel
Kann ich mich auf Geschwindigkeitsanzeige FritzBox verlassen?
Hallo zusammen, erstmal herzlichen Dank für die Leute, die sich Zeit nehmen Fragen zu beantworten oder ihre Erfahrungen mit anderen teilen. Das ist oft hlifreich, wenn man sich nicht so auskennt. Ich hoffe, dass mir jemand weiterhelfen kann. Die Telekom hat hier nach langer und ersehnter Zeit schnelle Leitungen verlegt. Mitarbeiter waren auch zu Besuch da und auch nett:-) Sie wollten ja auch, dass ich von 1und1 wieder zurück wechsel. Das ist für mich in Ordnung und gehört zum Wettbewerb. Da jedoch die Mitarbeiter mir sagten, dass die Telekom für paar Jahre das Vorrecht hätte, könnte ich schnelles Internet nur über Telekom beziehen. Sprich entweder Telekom und schnelles Internet oder langsames Internet. Da habe ich im Internet recherchiert und rausgefunden, dass das so nicht mehr stimmt. Das war der Grund, warum ich dann bei 1und1 DSL100 abgeschlossen habe, da man mir am Telefon gesagt, dass es ohne Probleme möglich wäre. Nun ist es jedoch so, dass wir gar nicht so merken, dass unser Internet schneller ist. Gerade in der oberen Etage kann man nicht ohne Router surfen oder Sky über Internet Fernsehen. Nun meine Frage: Bei der Fritzbox wird es jedoch angezeigt. Kann ich mich drauf verlassen? Oder wie macht ihr eure Messungen? Ich weiss, dass es Software gibt, aber der feste Rechner ist bereits alt und hat einen alten Internet Explorer drauf. Wenn ich mit einem Laptop im Wlan mich reinhänge, wird sicher die Geschwindigkeit sowieso niedriger und nicht verwertbar sein, oder? Vielen Dank für die Antworten.