Hackergruppe infiziert Festplatten-Firmware

Zeros and Ones with Virus

Foto: © Weissblick / Fotolia.com

Wie die russische IT-Sicherheitsfirma Kaspersky unlängst behauptete, treibe eine Gruppe von Hackern bereits seit Jahrzehnten ihr Unwesen auf der ganzen Welt. Dabei setzen die Cyberpiraten auf hochentwickelte Technologien, die nicht erst seit heute mit dem US-Geheimdienst NSA oder einem anderen Geheimdienst in Verbindung gebracht werden.

Ein jetzt veröffentlichter Bericht dürfte nicht nur Hersteller von Festplatten in Aufregung versetzen. Auch Unternehmen, Regierungen, Forschungseinrichtungen und Behörden müssen sich mit dem Thema auseinandersetzen.

Niemand weiß genau, seit wann diese Gruppe aktiv ist. Nach einer aufwendigen Spurensuche ließ sich Malware bis ins Jahr 1996 zurückverfolgen. Damit wäre die Hackergruppe bereits seit 20 Jahren im Geschäft. Der Schaden für die betroffenen Regierungen und Unternehmen ist derzeit noch nicht absehbar.

Kaspersky veröffentlichte dazu prekäre Einzelheiten. So soll die Equation Group Unternehmen, Behörden, Institutionen und Regierungen in mehr als 30 Ländern angegriffen haben. Dazu schafft sich eine auf die Festplatte gebrachte Malware einen versteckten Bereich, auf dem wichtige Daten von ihr gesichert und später abgerufen werden. Als besonders kritisch wird jedoch die dadurch mögliche Manipulation der betroffenen Firmware der Festplatte betrachtet.

Manipulation auf höchstem Niveau

Für die Angriffe selbst nutzt die Equation Group zahlreiche Trojaner. Die Infizierung von Festplatten-Firmware mit Malware ist davon die effektivste Methode. Durch den Einsatz einer Reihe nicht-dokumentierter ATA-Befehle wird die Firmware wirkungsvoll manipuliert.

Eine andere Methode der Equation Group ist der Einsatz einer Software, die in der Lage ist, Netzwerke zu scannen, ohne Verbindung zum Internet zu haben. Dafür verwende die Gruppe einen USB-Stick, der sofort nach dem Anschluss an den Computer Informationen aus dem Netzwerk sammelt. Ist dieser Rechner mit dem Internet verbunden, kommt es zu einem unerwünschten Datenaustausch aus und ins Internet. Auf diese Weise können auch Netzwerke manipuliert werden, die nicht mit dem Internet verbunden sind.

Eine Infizierung des Rechners über eine CD ist ebenfalls möglich. So erhielt eine Gruppe von Teilnehmern einer wissenschaftlichen Konferenz in Houston (USA) eine CD mit vermeintlichen Materialien zur Konferenz. Über diese CD wurde dann die Malware auf dem persönlichen PC installiert. Bisher ist unklar, wo diese CD kompromittiert wurden.

Database concept: Database With Cloud on digital background

Die Equation Group soll Festplatten-Firmware mit Malware angegriffen haben, dadurch wird die Firmware wirkungsvoll manipuliert. Foto: © Maksim Kabakou / Fotolia.com

Bevorzugt wird das Windows Betriebssystem. Es gibt aber auch Hinweise auf eine Infizierung anderer Betriebssysteme wie Mac OS X. Selbst iPhones werden von der Cyberattacke nicht verschont. Über ein PHP-Skript wird der Nutzer auf eine Seite mit einem Exploit (Schwachstelle) geleitet und dort infiziert.

Eine der modernsten gefundenen Malware ist ein Implantat namens Grayfish, das zwischen 2008 und 2013 für unterschiedliche Windows-Versionen programmiert wurde. Dabei spielte die Bit-Version keine Rolle. Die 32-Bit-Version war ebenso betroffen, wie die 64-Bit-Version.

Bei einer Infizierung mit Grayfish übernimmt die Malware den Bootvorgang und erlangt damit die volle Kontrolle über den Rechner. Im Zuge dieser Manipulation legt die Malware ein eigenes verschlüsseltes Dateisystem im Verzeichnis an. Auch Treiber werden dabei infiziert.

Zerstört werden kann die Malware nicht. Nach Aussagen des Kaspersky-Forschers Fabio Assolini beseitigt lediglich die völlige Entsorgung bzw. Zerstörung der Festplatte das Problem. Selbst die Formatierung der Festplatte oder das Aufspielen eines neuen Betriebssystems schafft keine Abhilfe. Die Malware liegt so versteckt auf der Festplatte, dass sie selbst von hoch entwickelter Antiviren-Software nicht entdeckt werden kann.

Angriff mit verheerendem Ausmaß

Kaspersky zufolge wurden bisher mehr als 30 Länder Opfer dieser Cyberattacke. Zu den Betroffenen gehören Forschungseinrichtungen, Telekommunikationsunternehmen, Regierungen, diplomatische Einrichtungen und Massenmedien – unter anderem in den USA, Deutschland, Großbritannien und Frankreich. Besonders betroffen seien Russland und der Iran.

Festplatten von Samsung, Seagate, Western Digital, Toshiba und Maxtor sollen diese Malware aufweisen. Vermutlich wird diese Firmware erst umprogrammiert, wenn sich das Ziel oder der Zweck lohnen. Beobachtungen zufolge wurden Nutzer aus bestimmten IP-Adressbereichen nicht infiziert – darunter die Türkei, Jordanien und Ägypten.

Haben US-Geheimdienste ihre Hand im Spiel?

Kaspersky wagt zwar nicht den offenen Schritt gegen die US-Behörden. Mutmaßungen lassen aber den Verdacht zu, dass die Equation Group zwar nicht mit den Geheimdiensten direkt zusammengearbeitet habe, aber eine Kooperation mit den Entwicklern von Stuxnet und Flame bestehe.

Dem Bericht zufolge sollen die Entwickler Schwachstellen – sogenannte Zero-Day-Lücken – ausgetauscht haben, die von den Hackern der Equation Group für ihre Angriffe genutzt wurden. Da Flame und Stuxnet dem NSA und der CIA zugeordnet wurden, liegt die Vermutung nahe, dass diese Organisationen auch bei den Angriffen der Equation Group ihre Finger im Spiel hatte. Ein Dementi oder eine öffentliche Darstellung der Situation durch die Geheimdienste oder der Hackergruppe selbst ist nicht zu erwarten.