IT-Security: Die Evolution eines Cyber-Spionage-Programms


    Tags: , ,

    Die deutsche IT-Sicherheitsfirma G Data dokumentiert, wie sich eine der bekanntesten Schadsoftware-Varianten in den vergangenen sieben Jahren weiterentwickelt hat. Es handelt sich um die Malware Agent.BTZ. Nach Angaben von G Data haben Cyber-Kriminelle die Software erstmals 2008 bei einem Angriff auf das Pentagon in Washington verwendet.

    G Data - Entwicklung der Schadsoftware Agent.BTZIn einem Beitrag im G-Data-Blog beschreibt das Unternehmen detailliert den "Werdegang" von Agent.BTZ, einem Tool, mit dem Angreifer fremde Rechner fernsteuern können, und dessen Wandlung zu ComRAT. Die letztgenannte Variante kam im vergangenen Jahr unter anderem bei Angriffen auf die Außenministerien von Belgien und Finnland zum Einsatz. ComRAT weist wiederum Ähnlichkeiten mit dem Spionage-Rootkit Uroburos auf.

    Nach den Erkenntnissen von G Data deutet einiges darauf hin, dass Angreifer oft beide Schädlinge parallel einsetzen. Hundertprozentig transparent sind die Einsatzszenarien der beiden Malware-Versionen allerdings nicht.

    Fast 50 Samples analysiert

    Das Security Lab von G Data analysierte 46 Samples der Malware. Ein Ergebnis: Bis zur Version 3.00, die 2012 herauskam, gab es nur geringe Änderungen am Programmcode. Ähnlich wie seriöse Software-Entwickler behoben die Programmierer von ComRAT bis dahin nur Fehler und ergänzten die Schadsoftware um neue Methoden, um der Entdeckung durch IT-Security-Software zu entgehen.

    Außerdem wurden Funktionen entfernt, die durch neue Schutzmechanismen in Windows obsolet wurden. Dazu zählt beispielsweise ein Mechanismus zum Infizieren von Datenträger-Sticks. Der Grund ist vermutlich, dass Microsoft die automatische Ausführung bei externen Datenträgern deaktiviert hat. Für die Angreifer ist dieser Infektionsvektor daher laut G Data nicht mehr interessant.

    Weitere Versionen sind zu erwarten

    Dagegen wurden in den Folgeversionen bis zur aktuellen Ausgabe 3.26 der Angriffssoftware etliche neue Funktionen integriert, etwa die Unterstützung mehrerer Server (Comand und Control) für die Steuerung der Software und der von ihr befallenen Systeme sowie eine umfassende Verschlüsselung von Zeichenketten.

    G Data geht davon aus, dass die Gruppe hinter Uroburos/Agent.BTZ/ComRAT auch weiterhin eine aktive Rolle im Bereich Malware und Advanced Persistent Threats (APT) spielen wird. "Aufgrund der neuesten Analyseergebnisse und der daraus gezogenen Schlussfolgerungen kommen wir zu der Ansicht, dass noch weitere Bedrohungen folgen werden", so Paul Rascagnères, Mitarbeiter des GData Security Lab in dem Blog-Beitrag.

    Keine Kommentare