Das Rootkit mit dem Namen 'Uroburos' arbeitet autonom und verbreitet sich selbstständig in den infizierten Netzwerken. Rootkits sind Software-Tools, die ihr eigene Existenz und ihr schädliches Arbeiten auf dem befallenen System durch Einarbeitung in die innerste Grundstruktur der Betriebssystem-Software verbergen können. Auch Rechner, die nicht direkt am Internet hängen, werden von diesem Schädling angegriffen.

Die Bochumer Sicherheitsexperten tauften die Schad-Software gemäß der im Quellcode aufgeführten Bezeichnung auf den Namen 'Uroburos'. Der Begriff ist angelehnt an ein altes griechisches Symbol - eines Drachens, der sich in seinen eigenen Schwanz beißt. Der Name 'Uroburos' basiert vor allem darauf, dass dieser Rootkit einen Treiber und ein File-System in zwei unterschiedlichen und getrennten Dateien nutzt und diese beiden Bestandteile nur miteinander kombiniert arbeiten können (Kopf und Schwanz des Drachen-Symbols zusammengenommen).

Eine solche Software kann nach Einschätzung von G Data nur mit hohen Investitionen in Personal und Infrastruktur realisiert werden. Das Design und der hohe Komplexitätsgrad des Schädlings lassen daher einen Geheimdienst-Ursprung vermuten. Aufgrund technischer Details, wie Dateinamen, Verschlüsselung, Verhalten der Schadsoftware, besteht die Vermutung, dass 'Uroburos' von derselben Quelle stammen könnte, die bereits 2008 eine Cyberattacke gegen die USA durchgeführt hat. Damals kam eine Schad-Software namens 'Agent.BTZ' zum Einsatz. Sowohl diese als auch die jetzt entdeckte Software könnten laut G Data russischen Ursprungs sein, da die Entwickler jeweils die russische Sprache nutzen.

Was kann die Software?

'Uroburos' ist ein Rootkit, das aus zwei Dateien besteht: einem Treiber sowie einem verschlüsselten virtuellen Dateisystem. Mit Hilfe dieses Schadprogramms kann der Angreifer die Kontrolle über den infizierten PC bekommen, einen beliebigen Programmcode auf dem Computer ausführen und dabei seine Systemaktivitäten verstecken. 'Uroburos' ist außerdem in der Lage, Daten zu stehlen und den Netzwerkdatenverkehr mitzuschneiden. Durch den modularen Aufbau können Angreifer die Schadsoftware um weitere Funktionen erweitern. Aufgrund dieser Flexibilität und Modularität stuft G Data das Rootkit als sehr fortschrittlich und gefährlich ein.

Die Schad-Software ist darauf ausgelegt, in großen Netzen von Firmen, Behörden, Organisationen und Forschungseinrichtungen zu agieren: 'Uroburus' verbreitet sich selbstständig weiter und arbeitet in einem 'peer-to-peer'-Modus: Dabei kommunizieren die infizierten Computer in einem geschlossenen Netzwerk direkt miteinander. Die Täter brauchen dabei nur einen einzigen Rechner mit Internetzugriff. Das Muster zeigt, dass die Angreifer den Umstand berücksichtigen, dass in den Netzwerken oft auch PCs eingebunden sind, die nicht ans Internet angeschlossen sind. Die infizierten Rechner spionieren Dokumente und andere Daten aus und leiten diese an den PC mit der Internetverbindung weiter, hierüber werden alle zusammengetragenen Informationen an den Angreifer übermittelt. 'Uroburos' unterstützt dabei sowohl 32- als auch 64-Bit Microsoft Windows-Systeme.