Kaspersky entdeckt Malware in Firmware von Festplatten

5. März 20156. März 2015 2 min read

Angriff auf Festplatten

Die russischen Sicherheitsexperten von Kaspersky Lab haben eine neue Malware in zahlreichen Festplatten gefunden. In mehr als 500 Rechnern fanden die Virenforscher komplexe Eindringlinge. Sie tauften die gefährliche Anwendung „Todesstern der Malware-Galaxie“, da sie über ein ausgeklügeltes System verfügt. Acht solcher gefährlicher Programme wurden analysiert. Hinter der Attacke soll die Hackergruppe Equation Group stecken. Aufgrund ihrer intelligenten Verschlüsselungstechniken stellt die Schadsoftware sogar den bis dato gefährlichsten Trojaner Regin in den Schatten. Acht Schadprogramme umfasst die neueste Bedrohung.

Dem veröffentlichten Bericht zufolge infizierten zwei der Schädlinge die Festplatten-Firmware so, dass sie eine Neuinstallation oder Löschung überleben. Firmware ist eine Steuerungssoftware, ohne die sich Festplatten und andere Hardware wie USB-Sticks nicht mit dem Betriebssystem verbinden können.

NSA: Erneute Spionage-Aktion?

Die Experten von Kaspersky Lab vermuten hinter den Angriffen die NSA. Denn für die Implementierung der Schadprogramme werden große finanzielle Kapazitäten sowie technisches Fachwissen benötigt. Alle diese Faktoren erfüllt der US-amerikanische Sicherheitsdienst. Auch die Liste der Ziele spricht für sie. Ein weiteres stichhaltiges Indiz lieferte Edward Snowden: In den Dokumenten des Whistleblowers deuten folgende Techniken auf die NSA als Urheber:

Der Codename Grok steht für das verschleierte Aufzeichnen von Tastaturanschlägen. Auch der von der Equation-Gruppe genutzte Grok agiert auf diese Weise.
Querverbindungen wie die Wortschöpfung UR gelten als Kennzeichen. Im NSA-Katalog tauchte sie als Unitdrake-Software auf.
Das Adjektiv Straight steckt in weiteren Anwendungen. Möglicherweise zählen sie zur Straightbizzare-Plattform der NSA.

Regierungen und Firmen betroffen

Bereits seit 2001 oder sogar schon 1996 wurden in über 30 Ländern wie Mali, Syrien, Russland, Iran oder Afghanistan Festplatten heimlich mit Trojanern verseucht.. Zu den Spähzielen zählten neben Telekommunikationsunternehmen, Regierungen, das Militär oder muslimische Aktivisten. Der 2013 von der NSA-Abteilung ANT mit Hard- und Softwareentwicklungen veröffentlichte Katalog enthält das Programm Iratemonk. Es wurde entwickelt, um die Firmware zu infiltrieren und so dauerhaft Softwarefunktionen auf PCs und Notebooks zu bringen. Die aus dem Jahr 2008 bekannte Malware ist in der Lage mehrere Festplattenmarken wie beispielsweise von Toshiba oder IBM zu manipulieren. Wie beim zuvor gemeldeten Stuxnet-Wurm, der für die USA und Israel im Iran Uran-Förderungen behindern sollte, war eine Lücke im Windows-System die Ursache. Die NSA will sich zu den Erkenntnissen bislang nicht äußern.

USB-Stick überträgt Trojaner

Nicht nur internetfähige Geräte sind gefährdet. Mithilfe eines USB-Sticks können sich Trojaner dauerhaft auf den Festplatten einnisten. Ein Vertreter mit dem Namen „Fanny Wurm“ treibt seit Juli 2008 sein Unwesen. Über versteckte Speichersysteme gelangt er mittels USB-Stick auf die Ziel-Computer. Schaltet die betroffene Person das Internet an, sendet der Trojaner Informationen an das Kontrollzentrum der Hacker, die daraufhin die Software zur Firmware-Beeinflussung aktivieren.

Gibt es Schutzmaßnahmen?

Sich vor der Infizierung zu schützen ist nicht so einfach. Denn wenn sich die Malware einmal auf der Festplatte eingenistet hat, helfen Schutzprogramme nicht mehr. Nur im Vorfeld kann Schutzsoftware etwas ausrichten. Um aufgrund der Entdeckungen von Kaspersky auf Nummer sicher zu gehen, empfehlen die Experten trotzdem ein Antivirusprogramm zu nutzen. Mit regelmäßigen automatischen Updates und dem Schließen möglicher Sicherheitslücken ist die Gefahr etwas gebannt. Eine hilfreiche Sicherheitslösung existiert momentan noch nicht.