Zur länderspezifischen Verteilung des Agent.btz in den Jahren 2011 bis 2013
"Agent.btz": Die Super-Spionagesoftware
14. März 2014, 13:58
·
vergrößern 800x684
foto: kaspersky/securelist.com
Die durch verschiedene Abwandlungen von "Agent.biz" verursachten
Infektionen zwischen 2011 und 2013
·
vergrößern 770x698
foto: kaspersky
Ein 2008 entdeckter, vermutlich russischer Schädling ist Blaupause für
hochentwickelte Rootkits
Vor kurzem beschrieben die Analysten von G Data eine Schadsoftware mit
dem Titel "Uroburos". Das Rootkit ist in der Lage, Rechner über tragbare
Datenträger zu infizieren. Dabei bleibt es gut versteckt und sammelt
Informationen und Dokumente, die dann bei vorhandener Internetverbindung
versandt werden. Es ist auf 32- und 64Bit-Systemen mit Windows
lauffähig, gilt als hochentwickelt und auf Regierungs- und
Industriespionage spezialisiert.
Analysten des russischen IT-Sicherheitsexperten Kaspersky bringen das
Programm mit dem Schädling "Agent.btz" in Verbindung. Dieser infizierte
2008 Computeranlagen der US-Streitkräfte. Der Angriff führte damals zur
Gründung des "United States Cyber Command".
Diskussion über Ursprung
Laut G Data ist der Schädling, genau wie "Agent.btz" auf einen
russischen Ursprung zurückzuführen. Sehr wahrscheinlich ist dabei, dass
ein und dieselben Entwickler an den beiden Programmen beteiligt waren.
Man geht wegen des komplexen und professionellen Programmdesigns von
einem Geheimdienst als Quelle aus.
Kaspersky vertritt in einer Presseaussendung den Standpunkt, dass die
neue Schadsoftware zwar sehr sicher nach dem Vorbild von "Agent.btz"
entstanden ist, die Informationen zur Konstruktion aber bereits bei der
Erstellung des neuen Schädlings verfügbar waren. Damit geben sie zu
bedenken, dass das Programm nicht zwangsläufig von den gleichen Machern
sein muss wie "Agent.btz". Die Möglichkeit räumt man jedoch ein.
Uneinigkeit bei Namensgebung
Die verschiedenen Sicherheits- und Analysefirmen sind sich in der
Namensgebung nicht einig. Symantec und F-Secure bezeichnen die
weiterentwickelte Version von "Agent.btz" als "Turla", während BAE den
Namen "Snake" wählt und G-Data "Uroburos". Sie stimmen jedoch in der
Einschätzung überein, dass der Schädling eine besonders hoch entwickelte
Software darstellt.
Super-Rootkit als Grundlage
2008 infizierte "Agent.btz" Computeranlagen der US-Streitkräfte. Die
resistente Schadsoftware konnte erst nach aufwendigen und langwierigen
Maßnahmen wieder aus dem System entfernt werden. Das funktionale
Programmdesign des Schädlings wurde laut Kaspersky zur Blaupause. So
soll das Rootkit die Grundlage für Cyberspionage-Tools wie "Roter
Oktober", "Flame" oder "Gauss" sein.
Auf 13.800 Systemen soll "Agent.btz" entdeckt worden sein. Weltweit geht
man von zehntausenden mit dem Rootkit infizierten USB-Sticks aus. Vor
allem G Data vermutet, dass es bereits neuere, noch unentdeckte
Abwandlungen des Schädlings gibt. (red, derStandard.at, 14.3.2014)
Links:
Kaspersky Presseaussendung
G Data Security Blog
Zum Thema:
Hochentwickelte Spionagesoftware "Uroburos" entdeckt
http://derstandard.at/1392688226680/Agentbtz-Die-Super-Spionagesoftware