Eine neu entdeckte Spionagesoftware soll es auf hochsichere Netze abgesehen haben. Sicherheitsexperten rätseln über eine russische Herkunft und vermuten hinter der Entwicklung einen Nachrichtendienst.
Das Internet eignet sich auch dann für Spionage, wenn die Computer, auf die sie abzielt, nicht direkt mit dem Internet verbunden sind. Bochumer Sicherheitsforscher haben eine Software entdeckt, die sich in Unternehmen- und Behördennetzen verbreitet, nachdem nur einer der Rechner dieser Netze mit dem Internet verbunden war. Das Ziel der Software, die Windows-Rechner ins Visier nimmt, sei das Abgreifen und Versenden von Dateien.
Die Mitarbeiter des Unternehmens G-Data, die den Schädling untersucht und „Uroburos“ getauft haben, sprechen von einer „hochkomplexen“ Software, deren Raffinesse an „Stuxnet“ erinnere und die im Zusammenhang mit der Schadsoftware Agent.btz stehen soll. Mit diesem Trojaner soll vor sechs Jahren eine der umfangreichsten Cyberangriffe auf Amerika durchgeführt worden sein.
Bei Uroburos handele es sich um ein Rootkit, das sich im infizierten Rechner versteckt und die Kontrolle über einzelne Funktionen übernimmt. So könne das Programm in Hochsicherheitsnetzen sowohl Datenspeicher auslesen als auch Datenverkehr im Netzwerk mitschneiden und versenden. Die Raffinesse sehen die Forscher in dem „extrem komplexen Aufbau“ des Treibers, der kaum auffindbar sei und zusätzlich erlaube, weitere Module nachzuladen.
Kostspielige und komplizierte Entwicklung
Die Forscher vermuten, dass die Entwicklung kostspielig und nur von Experten zu bewältigen gewesen sei. Daher sei die Schadsoftware eher nachrichtendienstlichen denn kriminellen Ursprungs. Zudem seien in der Software Kommentare in russischer Sprache gefunden worden. Weitere Merkmale wie Dateinamen, Verschlüsselungstechnologien und einzelne Funktionsweisen rückten die Software in die Nähe von Agent.btz. So habe Uroburos beispielsweise eine Funktion, die infizierte Rechner daraufhin überprüft, ob der Agent.btz-Trojaner bereits installiert sei.
Die Version, die nun gefunden wurde, stamme aus dem Jahr 2001. Noch ungeklärt sei, wie der Schädling in interne Netze eindringe. Möglich wäre die Infektion über das Internet, aber auch andere Formen der Datenübertragung, beispielsweise per USB-Stick. Laut der Spezialisten ziele die Software nicht auf Privatcomputer, sondern sei speziell für das Ausspähen von Rechnern in Hochsicherheitsnetzen entwickelt worden.