Uroburos / Turla / Snake

Keyfacts

  • entdeckt: keine Angabe bekannt
  • sicher aktiv seit: 2011, erste Codebestandteile bereits 2006 erstellt
  • letzte Aktualisierung: mind. bis 2017
  • Verbreitung: keine konkreten Angaben über Ziele, deutliche Hinweise, dass Großkonzernen, staatliche Einrichtungen und Nachrichtendienste im Focus stehen
  • Infektion und Replikation: Infektionsvektor bisher unbekannt, Einbettung im System per Rootkit, Verbreitung in lokalen Netzwerken per Peer-to-Peer-Mechanismen, damit auch abgeschottete Systeme erreichbar
  • Hauptziel: Datenspionage, Office-Dokumente, Passworte, Netzwerk-Traffic
  • Vermutliche Herkunft: Namensgebung und Code-Bestandteile lassen Entwickler mit Russisch als Muttersprache vermuten

Relevante Dokumente

Uroburos-Grafik-1f39f750dd9984a3

Die Malware Uroburos, benannt nach einer Zeichenkette die im Quellcode aufgefunden wurde, bezieht sich auf  „ein bereits in der Ikonographie des Alten Ägyptens belegtes Bildsymbol einer Schlange, die sich in den eigenen Schwanz beißt und so mit ihrem Körper einen geschlossenen Kreis bildet“ (Q: Wikipedia). Die Malware besteht dabei aus zwei Dateien die für 32 und 64Bit-Versionen von Microsoft Windows entwickelt wurde und neben dem klassischen Rootkit für das Einnisten eine komplett in einer verschlüsselten Datei gekapseltes, separates Dateisystem enthält, das das Malware als „Arbeitsumgebung“ dient. Der Bericht enthält wenig konkrete Angaben zu infizierten Zielsystemen. Die Malware wird von den Analysten jedoch als in einem Maße hoch komplex bezeichnet, die normale Kriminelle als Urheber ausschließt und eher Nachrichtendienste vermuten lassen. Dafür spricht laut Analysen der professionelle Aufwand mit dem die Urheber versucht haben, die Malware in infizierten Systemen zu verstecken, sowie der implementierte Peer-to-Peer-Mechanismus mit dem sich die Malware in lokalen Netzwerken verbreitet und Kommunikationskanäle zu jenen Systemen herstellt die nicht direkt an das Internet angeschlossen sind. Das Hauptziel besteht in der Spionage von Office-Dokumenten und Passworten sowie im Mitlesen und Analysieren von Netzwerk-Traffic, allerdings ist Uroburos modular gestaltet, sodass weitere Funktionalität leicht nachgeladen werden kann. Für die vermutlich Russisch-sprachigen Herkunft spricht ein Querverweis im Funktionsverhalten der Malware, der auf einen früheren Cyberangriff gegen die USA aus Jahr 2008 (siehe obiger Bericht von heise.de) verweist:

Aufgrund technischer Details (Dateinamen, Verschlüsselung, Verhalten der Schadsoftware sowie weiterer im Artikel genannter Fakten) besteht die Vermutung, dass die Gruppe hinter Uroburos identisch ist, mit der Gruppe welche 2008 eine Cyberattacke gegen die USA durchgeführt hat. Damals kam eine Schadsoftware namens „Agent.BTZ“ zum Einsatz. Uroburos überprüft Systeme darauf, ob Agent.BTZ bereits installiert ist und wird nicht weiter aktiv, wenn Agent.BTZ installiert ist. Wir fanden außerdem Indizien, die darauf hindeuten, dass die Autoren von Uroburos russisch sprechen. Diese Beobachtung unterstützt den Zusammenhang zum Agent.BTZ-Fall aus 2008. Es existieren zusätzlich öffentlich zugängliche Zeitungsberichte die den Gebrauch der russischen Sprache im Agent.BTZ-Fall untermauern. (Q: GDATA Report)

Die Analysten von Kaspersky sind hinsichtlich derartiger, direkter Zusammenhänge vorsichtiger, weise jedoch auf einen weiteren interessanten zeitlichen Aspekt hin:

“It is not possible to draw such a conclusion based on these facts alone”-says Aleks Gostev, Chief Security Expert at Kaspersky Lab. “The information used by developers was publicly known at the time of Red October and Flame/Gauss’ creation. It isno secret that Agent.btz used ‘thumb.dd’as a container file to collect information from infected systems and in addition, the XOR key used by the developers of Turla and Agent.btz to encrypt their log files was also published in 2008. We do not know when this key was first used in Turla, but we can see it for certain in the latest samples of the malware, which were created around 2013-2014. At the same time, there is some evidence which points towards Turla’s development starting in 2006 – before any known sample of Agent.btz; which leaves the question open.”

Analysen von 2017 zeigen, dass die Hackergruppe mit einem „Whitebear“ getauften Malware-System auch 2017 weiterhin aktiv gewesen ist.