Cebit

Warnung vor dem Supervirus

Datensicherheit ist einer der Themenschwerpunkte der heute beginnenden Computerfachmesse Cebit. Experten melden immer komplexere Viren

Hannover. Uroburos – die Schlange, die sich in den Schwanz beißt – ist das Symbol für die neueste Cyber-Bedrohung aus Russland: Ein verschlüsseltes Stück Software, so komplex und potenziell schadensträchtig wie kaum ein Schadcode zuvor. Die Schlange kann ganze Netzwerke von Computern auf Windows-Basis systematisch ausspähen, gezielt Schwachpunkte angreifen, unerkannt über Jahre hinweg Dateien nach außen verschicken und verschlüsselte Befehle empfangen.

Fast ein Jahr lang hat Sicherheitsforscher Ralf Benzmüller vom deutschen IT-Sicherheitsanbieter G Data an dem Code geforscht, dann stellte er Ende Februar ein Arbeitspapier online, dass die Funktionen und die Ziele des Programms beschreibt: „Aufgrund der Komplexität der Schadsoftware und der darin enthaltenen Spionagefunktionalität vermuten wir, dass dieses Rootkit hauptsächlich große Firmen, Forschungseinrichtungen sowie Behörden ins Visier nimmt“, schreibt er. Die Autoren des Programms kommen G Datas Analyse zufolge aller Wahrscheinlichkeit nach aus Russland, sie haben augenscheinlich zuvor bereits ähnliche Superviren geschaffen: Trifft Uroburos auf einem infizierten Rechner auf den Schadcode Agent.BTZ, der bereits im Jahr 2008 entlarvt wurde, dann lässt Uroburos das Gerät in Frieden – das deutet daraufhin, dass hier dieselbe Hackergruppe oder die selben Auftraggeber aktiv sind. Agent.BTZ wurde für Cyberangriffe speziell auf die digitale Infrastruktur des Pentagons genutzt, die US-Streitkräfte benötigten damals Monate, um ihre Computer von dem Schädling zu befreien. Das deutet darauf hin, dass staatliche Akteure den Auftrag für Uroburos gegeben haben – wer genau und wo er das Programm einsetzte, versuchen aktuell Sicherheitsforscher weltweit herauszufinden.

Staatliche Akteure könnten Uroburos in Auftrag gegeben haben

Ihr Job ist kein leichter: Uroburos zählt zu einer neuen Klasse von Superviren – höchst komplexen Schädlingen, die in ihrer Struktur und ihren Fähigkeiten eher einem Miniatur-Betriebssystem denn einem simplen Virus gleichen. Die Programme sind zumeist modular aufgebaut: Ein erster kleiner Programm-Teil nutzt bekannte oder völlig neue Sicherheitslücken, um einem Schadcode auf einem PC auszuführen und diesen so zu übernehmen. Nachdem das Gerät unter Kontrolle ist, werden weitere Funktionen nachgeladen – das Programm schaltet etwa laufende Virenscanner aus und legt ein eigenes verschlüsseltes Dateisystem auf der– Festplatte an. Dann sucht es nach Netzwerkverbindungen und schneidet Netzwerkverkehr mit, um interne Daten seiner Opfer abzufischen, nach außen zu kommunizieren und potenzielle weitere Computer zu finden und zu infizieren. Wie genau Uroburos auf die Rechner seiner Opfer gelangt, ist bislang ungeklärt. Augenscheinlich können die Programmierer ihre Software flexibel anpassen, die jeweils neuesten Lücken in Windows oder Windows-Programmen zu nutzen.

Lange Zeit galt in der Gestaltung von Sicherheitsarchitektur in Netzwerken ein Mantra: Was nicht mit dem Internet verbunden ist, ist sicher vor digitalen Angreifern. „Airgap“ heißt diese Verteidigungsvariante, und sie erweist sich gegenüber Angreifern wie Uroburos zusehens als löcherig: Programme wie der neue russische Super-Schädling nutzen immer raffiniertere Methoden, um sich trotz der fehlenden Internetverbindung einzelner Geräte auf den Computern ihrer Opfer breit zu machen. Uroburos etwa baut systematisch ein eigenes Netzwerk auf Peer2Peer-Basis auf, nutzt Verbindungen zu anderen Geräten in einem geschlossenen Netzwerk, sucht nach Internetverbindungen – schon wenn nur ein anderer Rechner mit dem Internet verbunden ist, kann Uroburos ihn als Ausfall-Tor für seine gestohlenen Daten nutzen.

„Die beschriebene Funktionalität ist typisch für Schadsoftware, welche darauf ausgelegt ist, sich in großen Firmen- oder Behördennetzen zu verbreiten. Die Angreifer gehen davon aus, dass in dem Netzwerk Computer vorhanden sind, welche keine direkte Internetverbindung besitzen und benutzen diese Technik, um über Umwege trotzdem an ihr Ziel zu gelangen“, erklärt Benzmüller in seiner Analyse.

Andere Superviren nutzen USB-Sticks, um sich zu verbreiten – der wohl bekannteste Angreifer dieser Art ist der Schädling Stuxnet, der gezielt Computer mit der Industrieanlagensteuerung Scada attackiert. Diese Geräte sollten eigentlich nie direkt mit dem Netz verbunden sein – doch eine Suche über die Netzarchitektur-Suchmaschine Shodan zeigt: Mehr als eine Million davor sind über Umwege doch mit dem Netz verbunden. Scada-Systeme steuern meist komplexe Maschinen oder Infrastruktur wie Kraftwerke. Sie eröffnen Angreifern die Gelegenheit, nicht nur Daten auszuspionieren, sondern echten physischen Schaden durch gezielte Fehlsteuerung zu verursachen. Wissenschaftler des Fraunhofer-Instituts für Kommunikation, Informationsverarbeitung und Ergonomie veröffentlichten vergangenes Jahr eine Arbeit, in der sie zeigten, wie Computer allein über ihre Mikrofone und Lautsprecher miteinander kommunizieren: Die Geräte tauschten Daten als für Menschen unhörbare hochfrequente Audiosignale aus – ein Schadprogramm könnte so jede Airgap überspringen.

„Airgaps existieren in komplexen Umgebungen schlicht nicht – irgendjemand schafft immer eine Verbindung“, erklärt Raj Samani, Chefsicherheitsforscher für den europäischen Markt bei Intels IT-Security-Tochter McAfee. Er erklärt, dass die zunehmende Komplexität von IT-Infrastrukturen den Job der Verteidiger immer schwieriger macht: „Mittlerweile können nicht mehr bloß Computer, sondern auch Drucker, Fernseher, digitale Steuerungsgeräte für Gebäudetechnik und sogar Haushaltsgeräte wie Kühlschränke online gehen. Mit jedem weiteren Gerät wird ein neues potenzielles Einfalltor geschaffen.“

Virenbaukästen kann man für einige Hundert Dollar herunterladen

Auf mindestens 300 Milliarden Dollar pro Jahr schätzt McAfee den Schaden durch die Cyberangriffe, vor allem durch Industriespionage, wie den Verlust von wettbewerbsrelevanten Daten an Konkurrenten. Die Zahl der Angriffe nimmt zu – auch, weil das Wissen für einen Angriff leichter zugänglich ist als je zuvor: „Seit Langem schon wird Cybercrime als Dienstleistung angeboten – wer selbst die Fähigkeiten für einen Angriff nicht besitzt, der kann diese einfach einkaufen“, sagt Samani.

Ein ganzes Spektrum von Aktivitäten macht dabei den Sicherheitsarchitekten und Systemadministratoren das Leben schwer: Am oberen Ende stehen Superviren wie die Uroburos, die unter Einsatz von Jahren Entwicklungsarbeit und Investitionen im siebenstelligen Bereich geschaffen werden. Hier sind staatliche Dienste die Verdächtigen – nur sie haben die Mittel und die Zeit dafür. Am anderen Ende stehen Virenbaukästen, die jeder mäßig begabte Programmierer für ein paar hundert Dollar herunterladen kann, um eigene Werkzeuge zu schaffen: „Die gängigsten Virenbausteine stehen in Form von kompletten Programmierwerkzeugen zum Verkauf, das Wissen dafür ist allgemein verfügbar", erklärt Samani.

Die Aktivität von staatlich bezahlten Virenprogrammierern sorgt dafür, dass das Wissen für Superviren mittelfristig allgemein verfügbar wird: Wie reale Waffen werden die Programmteile der einst geheimen Superviren verkauft, verschoben, geschmuggelt, gestohlen und landen schlussendlich in Virenbaukästen.