Spionage

Kaspersky Lab entdeckt die Mutter der Cyber-Spionage

Kaspersky Lab hat ein Schadprogramm entdeckt, das die Firmware von Festplatten infiziert. Damit erhalten Hacker Zugriff auf fast alle Rechner weltweit. Die Malware übertreffe an Raffinesse alles bisher Gesehene.
Von Marie-Anne Winter

Kasperky Lab hat ein Schadprogramm entdeckt, das die Firmware von Festplatten infiziert Kaspersky Lab hat ein Schadprogramm entdeckt, das die Firmware von Festplatten infiziert.
Grafik: kaspersky.eu Kaspersky Lab [Link entfernt] hat schon eine ganze Reihe spektakulärer Malware entdeckt und analysiert, unter anderem Stuxnet und Regin, hinter denen sehr wahrscheinlich die NSA bzw. die US-Regierung steckt. Jetzt fanden die Forscher der russischen IT-Sicherheitsfirma einen noch perfideren Verwandten dieser Schadprogramme, der sich in der Firmware von Festplatten versteckt. Betroffen sollen Festplatten von bekannten Herstellern wie Western Digital, Toshiba oder Seagate sein. Damit verfügt die NSA über eine Hintertür in sehr viele Computer weltweit.

Kaspersky vermeidet in dem Bericht allerdings, die NSA direkt als Urheber zu nennen und spricht Kasperky Lab hat ein Schadprogramm entdeckt, das die Firmware von Festplatten infiziert Kaspersky Lab hat ein Schadprogramm entdeckt, das die Firmware von Festplatten infiziert.
Grafik: kaspersky.eu von einer Equation Group, die hinsichtlich der technischen Komplexität und Raffinesse ihrer Schadprogramme alles bisher Gesehene in den Schatten stellen soll. Die IT-Sicherheitsexperten von Kaspersky Lab beobachten bereits seit einigen Jahren mehr als 60 sehr professionelle und für weltweite Cyberangriffe verantwortliche Akteure. In der weltweiten Kommunikationsinfrastruktur mischen immer mehr Nationalstaaten in Sachen Cyberwar mit und rüsten sich mit entsprechenden Werkzeugen aus. So gut ausgerüstet wie die Equitation Group scheint allerdings niemand sonst zu sein.

Malware überlebt Festplatten-Formatierung

Gegenüber der Nachrichtenagentur Reuters sollen frühere NSA-Mitarbeiter die Kaspersky-Analyse bestätigt haben und auch, dass die Methode von der NSA entwickelt worden sei. Laut Kaspersky Lab ist die Equation Group in so ziemlich allen Aktivitäten einzigartig. Sie benutzt Werkzeuge, deren Entwicklung sehr kompliziert und teuer ist und verwendet auch klassische Spionage-Taktiken, um ihre Schadprogramme bei ihren Opfern zu platzieren. So verteilte sie an Teilnehmer einer wissenschaftlichen Konferenz eine CD, mit der gezielt Rechner von einigen Teilnehmern infiziert wurden. Bekannt geworden sind auch Infektionen per USB-Stick, auf diese Weise wurde Stuxnet verbreitet.

Zur Infektion soll die Gruppe eine ganze Reihe von "Implantaten" (Trojanern) einsetzen, Kaspersky Lab nennt EquationLaser, EqationDrug, DoubleFantasy, TripleFantasy, Fanny und GrayFish, aber sicherlich gibt es noch mehr. Kaspersky Lab hat zwei Module entdeckt, mit denen die Festplatten-Firmware von einem Dutzend namhafter Festplattenhersteller modifiziert werden kann. Es handele sich bei diesem Werkzeug um ein sehr effektives Tool und die erste bekannte Malware, die direkt Festplatten infiziert. Die Malware überlebt sogar eine Festplattenformatierung oder eine Neuinstallation des Betriebssystems. Sobald sie in der Firmware implantiert ist, kann sie sich selbst immer wiederherstellen und das Löschen bestimmter Festplattenbereiche verhindern.

Der blinde Fleck auf der Festplatte

Außerdem kann eine mit diesem Code infizierte Firmware auf der Festplatte nicht mehr gescannt werden, Costin Raiu, der Director des Global Research and Analysis Team bei Kaspersky Lab erklärt: "Einfacher gesagt: für die meisten Festplatten existieren Funktionen zum Beschreiben des Firmware-Bereichs ihrer Hardware, aber nicht zur Wiedergabe. Das bedeutet, dass wir praktisch blind sind und mit dieser Malware infizierte Festplatten nicht erkennen können."

Das Schadprogramm ist in der Lage, einen unsichtbaren Bereich auf der Festplatte einzurichten, der benutzt werde, um bestimmte, auf dem jeweiligen Computer vorhandene Informationen zu speichern, die später von den Angreifern abgerufen werden können. In einigen Fällen können solche Daten auch beim Knacken von Verschlüsselungen helfen. Dazu gebe es ein weiteres Implantat, das ab dem Hochfahren eines Systems aktiv und in der Lage sei, das Verschlüsselungspasswort zu tracken und es in dem versteckten Bereich zu speichern.

Seit dem Jahr 2001 soll die Equation-Gruppe tausende, vermutlich zehntausende, Opfer in über 30 Ländern weltweit aus unterschiedlichen Bereichen infiziert haben. Darunter sind Regierungs- und diplomatische Institutionen, Telekommunikations- und Energie-Konzerne, Unternehmen aus Luft- und Raumfahrt, Nuklearforschungseinrichtungen, Firmen aus der Öl- und Gasindustrie, militärische Einrichtungen, islamische Aktivisten und Gelehrte, Massenmedien, Transportunternehmen, Finanzinstitute und natürlich auch Unternehmen, die Verschlüsselungstechnologien entwickeln.

Mehr zum Thema Schadsoftware