Seit Jahrtausenden gibt es den Mythos einer riesigen Schlange, die sich in ihren eigenen Schwanz beißt und so einen geschlossenen Kreis bildet. Schon die alten Ägypter glaubten an jenes Fabelwesen, das den Tod und die Wiedergeburt zugleich symbolisiert. Der griechische Philosoph Platon beschrieb es später als "Uroburos", was so viel bedeutet wie "Selbstverzehrer". Es hat keine Außenwahrnehmung, braucht keine Nahrung, es kreist nur in und um sich selbst. Es ist der Inbegriff der Ewigkeit. Nun ist das mythologische Wesen in der Moderne angekommen: Forscher des Sicherheitsanbieters G Data haben eine hochkomplexe und gefährliche Schadsoftware entdeckt, die nach der selbstverschlingenden Schlange benannt ist. Der Uroburos-Trojaner kann unbemerkt riesige Computernetzwerke infiltrieren, und braucht dazu nicht einmal das Internet. Er gilt als eines der gefährlichsten Programme aller Zeiten.
Hochkomplex und gefährlich
Technisch gesehen handelt es sich bei Uroburos um ein Rootkit. Das ist eine Art Virus, der sich so tief ins Betriebssystem einnistet, dass er nur schwer entdeckt und entfernt werden kann. Uroburos besteht aus zwei Dateien, einem Treiber, der die Software nahezu unsichtbar macht, und einem verschlüsselten Dateisystem. Damit ist es dem Angreifer möglich, die Kontrolle über einen infizierten PC zu erlangen und anschließend einen beliebigen Programmcode auf dem Computer auszuführen.
Außerdem kann der Trojaner den Netzwerkdatenverkehr mitschneiden und persönliche Daten stehlen. "Durch den modularen Aufbau kann die Schadsoftware einfach um weitere Funktionen erweitert werden", schreibt der Sicherheitsexperte Ralf Benzmüller, der das Tool fast ein Jahr lang untersucht hat. Seine Analysen hat er online in einem Report zur Verfügung gestellt. Sein Fazit: "Beim Uroburos-Rootkit handelt es sich um das fortschrittlichste Stück Schadsoftware, das wir je in diesem Umfeld analysiert haben."
Uroburos baut eigenes Netzwerk auf
Besonders gefährlich: Uroburos arbeitet im sogenannten "Peer to Peer"-Modus. Das heißt, mit der Schadsoftware infizierte Computer stehen innerhalb eines geschlossenen Netzwerks direkt miteinander in Kontakt. "Durch diese Fähigkeit ist es ausreichend, wenn ein einziger infizierter Rechner Zugriff auf das Internet hat", sagt Benzmzüller. "Der Angreifer kann über diesen Rechner andere Computer in dem Netzwerk infizieren und mit diesen anschließend kommunizieren. Dies funktioniert selbst, wenn der frisch infizierte Computer nicht über eine eigene Internetverbindung verfügt."
Die Software ist somit in der Lage, seine Spionagefunktionen auf allen infizierten Rechnern in dem Netzwerk einzusetzen. Die von Computern ohne Internetverbindung abgezapften Informationen werden über das eigene Netzwerk anschließend direkt an den Angreifer geschleust. Der Nutzer des PCs bekommt von alldem nichts mit: Antivirenprogramme schlagen keinen Alarm, handelsübliche Firewalls sind nutzlos.
Stecken russische Hacker hinter Uroburos?
"Die beschriebene Funktionalität ist typisch für Schadsoftware, die darauf ausgelegt ist, sich in großen Firmen- oder Behördennetzen zu verbreiten. Die Angreifer gehen davon aus, dass in dem Netzwerk Computer vorhanden sind, die keine direkte Internetverbindung besitzen, und benutzen diese Technik, um über Umwege trotzdem an ihr Ziel zu gelangen", erklärt Benzmüller. Das Ziel des Trojaners sind daher keine PCs von Privatpersonen, sondern Netzwerke von Organisationen und Regierungen.
Der Aufbau des Virus sei so komplex, dass die Kosten für die Entwicklung der Schadsoftware extrem hoch gewesen sein müssten, mutmaßt der Experte. Hinter dem Trojaner stecken vermutlich russische Computerexperten, die sehr gut ausgebildet wurden und bereits Erfahrung in der Programmierung von Superviren haben: Im Jahr 2008 wurde ein Spionagetool namens "Agent.BTZ" enttarnt, das für Cyberangriffe auf das Pentagon genutzt wurde. US-Medien zufolge benötigten die Streitkräfte damals Monate, um den Schädling von den Computern zu entfernen.
Der neue Supervirus überprüft die Computer zunächst darauf, ob Agent.BTZ bereits installiert ist. Ist dies der Fall, wird Uroburos nicht aktiv. "Wir fanden außerdem Indizien, die darauf hindeuten, dass die Autoren von Uroburos russisch sprechen. Diese Beobachtung unterstützt den Zusammenhang zum Agent.BTZ-Fall aus 2008", schreiben die G-Data-Analysten. Wie Uroburos auf die Computer gelangt, wo die Software überall eingesetzt wird und in wessen Auftrag die Hacker handeln, ist bislang unklar.
Am Nachfolger wird bereits gearbeitet
Der älteste Treiber, den die Experten bei der Analyse von Uroburos finden konnten, ist von 2011. Das deutet darauf hin, dass die Software seit etwa drei Jahren unentdeckt geblieben ist. Womöglich arbeiten die Köpfe dahinter längst am Nachfolger, vermutet Benzmüller: "Wir glauben, dass das Entwicklerteam hinter Uroburos die Zeit bis heute genutzt hat, um ein noch fortschrittlicheres Rootkit zu entwickeln, das bislang noch unentdeckt geblieben ist."
