Geheimdienstsoftware ComRAT hat es auf sensible Daten abgesehen

Veröffentlicht am von

G DATA entdeckt und analysiert Nachfolger von Agent.BTZ

Pressemeldung der Firma G DATA Software AG

Die G DATA Sicherheitsexperten haben eine neue Variante ei-nes hoch komplexen Cyber-Spionageprogramms entdeckt und analysiert: Das Spionageprogramm ComRAT attackiert High-Potential-Netzwerke, um sensible und geheime Informationen zu stehlen. Aufgrund technischer Details gehen die Analysten davon aus, dass der Schadcode den gleichen Ursprung wie die Schadsoftware Agent.BTZ hat, die 2008 bei einer Cyberattacke gegen die USA zum Einsatz kam. Außerdem haben die Experten erneut Ähnlichkeiten zum Spionageprogramm Uroburos festgestellt. Im Februar 2014 hatten die G DATA SecurityLabs erstmals vor Uroburos gewarnt, der unter anderem das belgische Außenministerium befallen hatte. Durch das Kapern einer Entwickler-Schnittstelle, sogenanntes COM-Hijacking, kann sich die Spionagesoftware auf einem PC einnisten und unbemerkt seine Schadfunktionen ausführen, wie zum Beispiel hochsensible Informationen über den Browser-Datenverkehr ausschleusen. So können Angreifer ein infiziertes System unbemerkt über einen langen Zeitraum mit dem Fernsteuerungstool (engl. RAT; Remote Administration Tool) ComRAT ausspionieren. G DATA Sicherheitslösungen erkennen und blockieren die Varianten von ComRAT.

„ComRAT ist die neueste Generation der bekannten Spionageprogramme Uroburos und Agent.BTZ. Ähnlich wie seine Vorgänger, ist ComRAT darauf ausgelegt in großen Netzen von Firmen, Behörden, Organisationen und Forschungseinrichtungen zu agieren und attackieren“, erklärt Ralf Benzmüller, Leiter der G DATA SecurityLabs. „Wir vermuten dahinter wieder die gleiche Gruppe, da der Schadcode viele Ähnlichkeiten aufweist. Die aktuelle Software ist noch komplexer und noch aufwendiger. Das zeugt von einer kostenintensiven Entwicklung.“

Was ist ComRat?

Die G DATA SecurityLabs haben die Spionage-Software aufgrund seiner technischen Eigenschaften „ComRAT“ getauft. Der Name setzt sich zusammen aus der COM-Schnittstelle (Component Object Model) und dem Begriff RAT (Remote Administration Tool). COM-Objekte werden zum Kapern eines Rechners missbraucht. Für Schadcode-Programmierer bietet diese Funktionalität einen Unterschlupf, um vom Anwender und dem Virenschutz unbemerkt zu agieren, im aktuellen Fall den Browser zu missbrauchen. So sehen die aus dem Netzwerk herausgeschleuste Daten aus wie ganz normale Browser-Surfdaten. Ein RAT ist ein Fernsteuerungstool, das in der Regel genutzt wird, um von entfernten Orten auf andere Rechner zuzugreifen. Die Hacker können die Malware von außen steuern.

Die G DATA Sicherheitsexperten haben in ihrer Analyse zwei Varianten des Schädlings entdeckt. Detaillierte Informationen stehen hier zur Verfügung: https://blog.gdata.de/artikel/die-akte-uroburos-neues-ausgekluegeltes-rat-identifiziert/

Im G DATA SecurityBlog wird das Kapern von COM-Objekten genauer untersucht: https://blog.gdata.de/artikel/hijacking-von-com-objekten-persistenz-der-diskreten-art/

Die Analyse zu Uroburos steht im G DATA SecurityBlog (https://blog.gdata.de/artikel/uroburos-hochkomplexe-spionagesoftware-mit-russischen-wurzeln/) zur Verfügung, ebenso wie ein detaillierter technischer Einblick in die Funktionsweise der Malware. (https://blog.gdata.de/artikel/uroburos-detaillierte-einblicke-in-die-umgehung-des-kernelschutzes/)



Firmenkontakt und Herausgeber der Meldung:
G DATA Software AG
Königsallee 178b
44799 Bochum
Telefon: +49 (234) 9762-0
Telefax: +49 (234) 9762-299
http://www.gdata.de



Dateianlagen:
    • Das Spionageprogramm ComRAT hat es auf sensible Daten abgesehen.
IT Security wurde in Deutschland erfunden: Die G DATA Software AG gilt als Erfinder des AntiVirus. Das 1985 in Bochum gegründete Unternehmen hat vor mehr als 25 Jahren das erste Programm gegen Computerviren entwickelt. Heute gehört G DATA zu den weltweit führenden Anbietern von IT-Security-Lösungen. Testergebnisse beweisen: IT-Security „Made in Germany“ schützt Internetnutzer am besten. Seit 2005 testet die Stiftung Warentest InternetSecurity Lösungen. In allen sieben Tests, die von 2005 bis 2014 durchgeführt wurden, erreichte G DATA die beste Virenerkennung. In Vergleichstests von AV-TEST demonstriert G DATA regelmäßig beste Ergebnisse bei der Erkennung von Computerschädlingen. Auch international wurde G DATA INTERNET SECURITY von unabhängigen Verbrauchermagazinen als bestes Internetsicherheitspaket ausgezeichnet – u.a. in Australien, Belgien, Frank-reich, Italien, den Niederlanden, Österreich, Spanien und den USA. Das Produktportfolio umfasst Sicherheitslösungen für Endkunden, den Mittelstand und für Großunternehmen. G DATA Security-Lösungen sind weltweit in mehr als 90 Ländern erhältlich. Weitere Informationen zum Unternehmen und zu G DATA Security-Lösungen finden Sie unter www.gdata.de


Weiterführende Links

Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die Huber Verlag für Neue Medien GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die Huber Verlag für Neue Medien GmbH gestattet.