Absoluter GAU: Eine Gruppe ("Equation Group"), mutmaßlich im Umfeld der NSA vermutet, hat seit 14 Jahren beliebige Systeme über fortgeschrittene Hackertechniken mit Spionagesoftware infiltriert. Den Sicherheitsforschern in den Kaspersky-Labors ist es scheinbar gelungen, eine der NSA zugeordnete Spionagesoftware aufzudecken, die sich in der Firmware von Festplatten versteckt. Kaspersky spricht vom "Todesstern in der Malware Galaxy", da bisher nichts vergleichbares gefunden wurde.
Anzeige
Die Meldung ist gestern in US-Medien hier bei Reuters oder hier bei ArsTechnica erschienen und wurde hier im Blog von den Sicherheitsforschern dokumentiert. Eine als "Equation Group" bezeichnete Hackergruppe, die im Umfeld der NSA verortet ist, hat wohl 14 Jahre lang PCs mit Spionagesoftware infiziert, ohne dass dies auffiel. Hier das Organigramm, wo Kaspersky die Gruppe einordnet.
(Quelle: Kaspersky)
Der Gruppe war es offenbar gelungen, die Spionageprogramme tief in der Firmware von Festplatten diverser Hersteller (Western Digital, Seagate, Toshiba etc.) zu verstecken. So war die Gruppe in der Lage, Systeme immer wieder zu infizieren, ohne dass dies von den Nutzern verhindert werden konnte. Infiziert waren Rechner in 30 Ländern in Iran, Russland, Pakistan, Afghanistan, China, Mali, Syrien, Jemen und Algerien. Ziele waren laut Kaspersky Regierungen, Militärische Institute, Telekommunikationsunternehmen, Banken, Energieversorger, Nuklear-Forschungslabors, Medien, Entwickler von Verschlüsselungssoftware und Islamisten.
(Quelle: Kaspersky)
Anzeige
Die obige Karte zeigt die weltweiten Infektionen. Aufgedeckt und dokumentiert haben dies Sicherheitsforscher aus den in Moskau angesiedelten Kaspersky-Labors. Der Bericht ist hier einsehbar und enthüllt, was laut den Sicherheitsforschern bisher eine einzigartige Angriffsmethode ist, die weit über das hinaus geht, was an Rafinesse bei Stuxnet bekannt war. Gemäß den Kaspersky-Forschern wurden für die Angriffe Werkzeuge benutzt, die extrem schwierig und teuer zu entwickeln waren.
Mit diesen wurden Trojaner, von Kaspersky mit Namen wie EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny und GrayFish belegt, in der Firmware von Festplatten abgelegt. Die Hackergruppe benutzt intern wohl Codenamen wie SKYHOOKCHOW, UR, KS, SF, STEALTHFIGHTER, DRINKPARSLEY, STRAITACID, LUTEUSOBSTOS, STRAITSHOOTER, DESERTWINTER und GROK für die Spionagetools. Deren Entwicklung begann wohl bereits 2001, wie folgendes Schaubild von Kaspersky nahelegt.
(Quelle: Kaspersky)
Die Schadsoftware nutzte dabei Zero-Day Expoits, um sich in den Systemen einzunisten. Namen von Schädlingen wie Fanny Wurm, Stux Net etc. fallen in diesem Zusammenhang, wobei Angriffe bereits 2008/2009 stattfanden. 2009 erhielten wichtige Forscher z.B. ein CD-Abbild per E-Mail, welches vorgeblich Material einer in Houston abgehaltenen Forschungskonferenz war. Im Beipack eine Sammlung dieser Trojaner, mit denen dann die Systeme infiziert wurden.
Laut diesem Arstechnica– und diesem Kaspersky-Bericht kamen dabei neuartige Angriffsmethoden zum Einsatz, die selbst das Löschen eines Datenträgers mit vom Militär genehmigten Löschprogrammen überstanden, weil sich die Schädlinge nicht auf der Festplatte sondern in deren Firmware einnisteten. Die auf der letzten BlackHat-Konferenz enthüllten BadUSB-Angriffsmethoden waren bei den Geheimdiensten also über viele Jahre im praktischen Einsatz. Hier ein Überblick über die verwendeten Techniken:
- Verwendung eines virtuellen Datensystems, wie es auch in der Regin-Schadsoftware zum Einsatz kam.
- Einschleusen verschlüsselter Malware-Dateien an mehreren Stellen in der Registrierung von Windows, so das die Infektion quasi nicht entdeckbar war.
- Redirects, die iPhone-Benutzer auf gehackte Webseiten umleiteten, die Exploits auslieferten. Dafür wurden hunderte Domains (300 Internet-Domains und 100 Server) betrieben. Die infizierten Geräte meldeten sich bei den Command-Servern der Equation Group als Macs (ein Hinweis, dass wohl iOS und OS X ebenfalls erfolgreich gehackt werden konnten).
- Waren Geräte nicht in einem Netzwerk eingebunden, wurden präparierte USB–Sticks (oder andere Datenträger) zur Infektion mit der Malware verwendet (wird bei Stuxnet und der Flame-Malware berichtet).
- Umgehung der code-signing Prüfung in Windows, so dass auch unsignierte Treiber und Sofware als Kernel-Bestandteile installiert werden konnten. Hierzu wurde eine bekannte Sicherheitslücke in bereits signierten Treibern verwendet.
Die Kombination dieser Angriffstechniken ist wohl State of the Art im Umfeld der NSA-Cyberspionage und bisher sonst nirgendwo beobachtet worden. Kaspersky hat hier eine FAQ (leider gelöscht) publiziert, die detaillierte Informationen und Hinweise zu den Schädlingen enthält und zum Aufspüren der Schadsoftware verwendet werden kann. Weitere Hinweise findet ihr in den verlinkten Beiträgen von Reuters, ArsTechnica, Forbes, ZDNet und Kaspersky. Update: In der Süddeusche Zeitung gibt es nun auch einen umfangreichen Bericht in deutsch, der eine gute Übersicht über das Thema gibt.
Ähnliche Artikel:
Unpatchbarer Exploit für BadUSB bekannt geworden
Black Hat 2014: USB-Geräte als Sicherheitsrisiko
Stecken Amis und Briten hinter Regin-Trojaner?
Anzeige
Nachtrag: Zwischenzeitlich hat auch heise.de einen Artikel veröffentlicht.
Nachtrag 2: Bei Spiegel Online ist dieses Interview zum Thema mit dem Kaspersky Forschungschef nachzulesen.
Nachtrag 3: Ein sehr schöner Artikel ist jetzt, nachdem sich der Staub gelegt und Superfish durch's Dorf getrieben wird, in der Online-Ausgabe der Zeit erschienen.
Unglaublich wie viel man schreiben kann ohne etwas wichtiges zu sagen :-) Wie erkenne ich jetzt die Malware und wichtiger noch: Wie entferne ich sie?
Also ich will mich mal vorsorglich entschuldigen. Sie können auch nur schreiben was an Infos zur Verfügung steht. Bei meiner Antwort habe ich leider nur bis vor die eigene Stirn gedacht und mich gefragt was tue ich wenn ich betroffen bin.
Du wirst nichts tun können – ohne spezialisierte Kenntnisse wird sich die Firmware der Disk nicht ändern lassen. Man kann lediglich die von Kaspersky in den verlinkten Dokumenten angegebenen Dateien auf seinem System suchen.
Aber die Infektionsgefahr für einen privaten No-Name-PC halte ich für begrenzt – es sei denn, das gute Stückchen wurde aus dem Fundus ausgemusterter Bundestags-, EU- oder Nato-Geräte rausgekauft ;-).