Russische Forscher finden Spionage-Software in Festplatten-Firmware
Eine ganz wilde Geschichte gibt es derzeit wieder aus der Welt der Überwachung zu erzählen. Dass Behörden Nutzer überwachen wollen, dies dürfte kein Geheimnis mehr sein, man soll dabei nicht nur klassische Software einsetzen, sondern auch nicht vor modifizierter Firmware von Hardware zurückschrecken.
Nach einem Bericht von Kaspersky verfolgt man eine Gruppe, die auf den Namen „Equation“ hört. Diese Gruppe hat bislang unbekannte Methoden gefunden, um Malware in der Firmware von Festplatten zu verankern – wo sie nicht nur extrem schwer aufzuspüren, sondern auch noch schwerer zu entfernen sei,
Diese Schadsoftware hat man bei den üblichen Verdächtigen aus der Festplattenbranche gefunden: Samsung, IBM, Micron, Western Digital, Maxtor, Seagate, Toshiba und Hitachi. Dabei soll die Gruppe Equation eng mit Stuxnet verbunden sein, da sie ähnliche Techniken und Sicherheitslücken ausnutzte, zudem im gleichen Zeitraum agierten.
Naheliegender Verdacht: die Ähnlichkeit der ausgenutzten Lücken erinnert an jüngst veröffentlichte Methoden, die die amerikanische NSA (National Security Agency) einsetzte, um Festplatten zu infizieren.
Hier wird natürlich nun spekuliert, dass Equation ein Teil der NSA sein könnte – was die festgestellte Schadsoftware auf Festplatten wieder in den Bereich Späh- und Spionagesoftware aus Behördenhand bringen könnte. Sollte dies der Fall sein, dann hätte die NSA wohl gute Chancen, an gewünschte Daten zu kommen. Für die meisten Nutzer dürfte die Schadsoftware unbemerkt bleiben, zudem wird sie eine Partitionierung und Formatierung der Festplatte überleben.
Kaspersky gab laut Angaben von Reuters an, dass man den Schädling auf Rechnern in 30 Ländern gefunden habe – und dieser sich durch alle Bereiche ziehe: Firmen aus der Telekommunikationsbranche, Banken, das Militär, Medien – eben alles, was so geht. Kaspersky vermied es, die NSA direkt zu nennen, stellte lediglich die Nähe zu Stuxnet dar – ein ehemaliger NSA-Mitarbeiter soll gegenüber Reuters aber angedeutet haben, dass die Analyse von Kaspersky korrekt sei.
Das Spionageprogramm ist kein Fall, der erst jüngst aktiv wurde – Kaspersky konnte Spuren bis in das Jahr 2001 zurück verfolgen. Bitte nicht in falsche Panik verfallen: die Schadsoftware ist offenbar nicht ab Werk auf den Festplatten, sondern erst hinterher durch eine Manipulation auf diese gekommen, um Ziele bewusst auszuspähen.
Während Seagate, Western Digital und Micron aussagten, nichts von diesem Spionageprogramm zu wissen, haben Toshiba und Samsung einen Kommentar abgelehnt und IBM hat überhaupt nicht auf eine Anfrage reagiert. Unklar ist, wie die Angreifer an den Sourcecode der Festplatten kamen, ein Sprecher von Western Digital teilte mit, dass man keinen Code mit Behörden teile. Allerdings können Behörden, die Hardware einkaufen – beispielsweise für das Pentagon – einen Security Audit durchführen, um zu überprüfen, ob der Code sicher ist. Auch Microsoft gibt Einblicke in das System. Interessierte Nutzer finden die Analyse von Kaspersky in diesem PDF.
Wie bekommt man denn nachträglich eine modifizierte Firmware auf Festplatten, ohne dass es jemand mitbekommt? Das würde entweder in jeder betroffenen Firma mindestens einen Insider brauchen, bevorzugt in der IT, oder man jubelt die Firmware doch direkt dem Hersteller unter, wodurch das Problem sehr wohl auch schnell den privaten Bereich und sehr viel mehr Systeme betreffen dürfte.
Das wurde vermutlich wie bei den Cisco-Routern gemacht die per Post an Kunden versandt wurden: Die Pakete wurden „abgefangen“, geöffnet und modifiziert, wieder verpackt und dann weiterversandt. Gab’s schon mal einen Artikel drüber.
Vielleicht nicht ganz unwichtig: nur Windows Systeme können damit angegriffen werden.
Die Firmware einer Festplatte kann grundsätzlich über die üblichen Systemlücken eingeschleust und installiert werden – schließlich gibt es ja auch ab und zu völlig legitime Updates der Festplattenfirmware.
@Michele, Hendrik: per Exploit holt sich das System Root-Rechte und spielt dann Firmware ein. Wo ist das Problem? Natürlich muss man den Controller äußerst intim kennen, und natürlich auch die FW Update Schnittstelle. Das ist aber machbar. Kein Insider nötig und auch kein Abfangen.
Es darf in kritischer Infrastruktur – dazu gehören Festplatten regelmäßig – einfach keinen geheimen Code geben. Nur wenn jeglicher Firmware Source Code offengelegt wird, kann eine Infektionsgefahr ausgeschlossen werden. Das betrifft jeden Menschen der auf der Welt einen Computer nutzt, ob privat oder beruflich.
China scheint in die richtige Richtung zu gehen, wenn sie Regierungshardware nur noch Technik erlauben, bei denen der Sourcecode der Firmware an die Regierung heraus gegeben wird.
Ein Key Escrow bei der Regierung hilft letzlich wenig. Hier wären alle anderen Regierungen gefragt: Einfuhrverbot für Technik mit nicht allgemein offengelegter Firmware, so wie es auch ein Einfuhrverbot für Fleisch mit potenziell gefährlichen Erregern gibt.
Hi,
was mir nicht ganz klar ist……
Angenommen meine HDD Firmware ist infiziert. Wie kommen dann die Daten zu den „Übeltätern“? Es kann ja schlecht möglich sein alle Daten upzuloaden, dann wäre die Leitung ja dicht? Woher kommt die Info das es nur Windows User betrifft? Funktioniert das auch mit Platten die hinter einem RAID-Controller arbeiten?
„Unklar ist, wie die Angreifer an den Sourcecode der Festplatten kamen“ also wenn man Schadcode in Festplatten Firmware einschleusen kann, dann ist wohl das Hacken der Festplatten Hersteller und damit das Stehlen vom Firmware Sourcecode ein Kinderspiel.
Wenn ich nicht ganz falsch liege, korrigiert mich bitte, dann kann eine Firmware nur auf Hardware-Seite Daten lesen. Speichere ich also in einer höheren Schicht verschlüsselte Daten auf die Festplatte, egal ob Zip, Truecrypt, weiß der Geier sonst, sieht die Firmware ein paar Zufallszahlen, und was die Firmware damit dann machen soll, ist mir nebulös.
Einziger mir sinnvoll erscheinender Anwendungsfall könnte also sein, dass ich eine Festplatte eines Herstellers habe, die auf Firmware-Ebene verschlüsselt. Dann könnte eine solche modifizierte Firmware den Schlüssel rausposaunen oder gleich einen allseits bekannten verwenden. Aber wer sollte sich auf sowas verlassen?
Im Moment erkenne ich keine praktische Relevanz.
Ist doch seit dem 30C3 bekannt: https://en.wikipedia.org/wiki/NSA_ANT_catalog (Stichwort: IRATEMONK).
Hier noch mal in Artikelform: http://www.spiegel.de/international/world/catalog-reveals-nsa-has-back-doors-for-numerous-devices-a-940994.html
„Another program attacks the firmware in hard drives manufactured by Western Digital, Seagate, Maxtor and Samsung, all of which, with the exception of the latter, are American companies. Here, too, it appears the US intelligence agency is compromising the technology and products of American companies.“
—
Hat damals keine Sau interessiert. Wenn es Kaspersky verbreitet, ist es natürlich etwas anderes.
@Troy: Und wie bekommst Du ohne Insider die Firmware auf den jeweiligen Rechner? Und startest das Update? Nicht jeder davon wird völlig ungesichert im Internet erreichbar sein. Zumal: Wenn ich bereits einen derartigen Exploit auf einem ans Internet angeschlossenen System habe, dass ich unbemerkt Firmwareupdates der Festplatte machen kann, brauche ich diese Firmware eigentlich gar nicht mehr weil mir eh alle Tore ins System offen stehen. Und eigentlich sollte spätestens nach einem Reboot auffallen, dass etwas mit der HDD passiert sein muss, weil Windows sie dann neu installiert. Zumindest hatte ich das bisher bei jedem FW-Update. Also ganz unbemerkt kann ich mir nicht vorstellen. Das muss irgendwo passieren bevor der Rechner zum Anwender kommt oder wenn der Rechner in der Wartung ist.
Da erscheint mir Hendriks Variante (abgefangene Postsendungen) spontan plausibler. Zumal es nur auf diesem Weg sicher ist, die abgegriffenen Daten auch wieder zu bekommen, indem man das Gerät (oft ja nur noch geleast) auf dem Rückweg wieder abfängt. Was dann Matzes Frage beantwoten dürfte.
Ist aber nur Spekulation, wer weiss schon was die NSA und Konsorten inzwischen für Tools haben…
@MIchele Elia: Die Einfallswege sind im verlinkten PDF auf den Seiten 14 und 15 zu finden. Das sind ganz reguläre Exploits und eine Neuinstallation der HD nach einem FW-Update ist auch nicht notwendig.
„Unklar ist, wie die Angreifer an den Sourcecode der Festplatten kamen, ein Sprecher von Western Digital teilte mit, dass man keinen Code mit Behörden teile. Allerdings können Behörden, die Hardware einkaufen – beispielsweise für das Pentagon – einen Security Audit durchführen, um zu überprüfen, ob der Code sicher ist.“
Wir geben den Behörden keinen Code um sowas zu bauen!!!!111elf Sie dürfen nur mal reingucken, um zu schauen, ob auch alles sicher ist. – Sollte das ein spezifisches Dementi werden, was er selbst versaut hat? Ist nicht ganz klar, wo die indirekte Rede aufhört.
So Dinger bekommt man natürlich über andere Sicherheitslücken in die Platte, dafür braucht es keinen Insider. Vorteil ist u.a., dass es persistenter ist. Und natürlich kann man damit dann alle Betriebssysteme angreifen, nicht nur Windows. Da liefert die Platte zum Beispiel das Programm zur Entschlüsselung der anderen Partitionen in einer um einen Keylogger erweiterten Variante.
Kranke Welt. Aber das sind ja unsere Freunde und das wird natürlich für immer und ewig nur gegen Terroristen eingesetzt. Da wird Mutti nichts sagen. Zu blöd, dass irgendwann alle Terroristen sind, die das Kreuzchen falsch setzen könnten oder das falsche denken.
„Russische Forscher“
„Nach einem Bericht von Kaspersky“
Eigentlich würde ich alles aus Russland auch boykottieren. Wer weiß, vielleicht steckt hinter Kaspersky auch schon in Wirklichkeit der Kreml. Alle die Kaspersky-Sachen installiert haben, denen wird im Kriegsfall der Rechner ausgeknippst.
Nur so mal als nächste Verschwörung- und Hysteriedebatte.
Kann man seinen eigenen Rechner schon darauf scannen, ob man auch diese Schadprogramme hat?
Des Weiteren: wen kann ich haftbar machen? Der Hersteller könnte mir auf anderen Kanälen einen Prüfhash zukommen lassen. Ist dieser gleich und ein Befall feststellbar -> Geld zurück. Ist dieser unterschiedlich -> Geld zurück von Post oder Verkäufer.
Da würden über kurz oder lang schon die richtigen Stellen genügend Sicherheit bereitstellen.
Habe gestern zufällig R TV (Russia TV News) angeschaut, bei denen ja die Berichterstattung etwas anders gefärbt ist, als bei westlichen Nachrichtensendern – und da war das auch ein Thema. Hierzu haben sie sogar einen ehemaligen Spion, der jetzt in New York lebt und bereits ein Buch geschrieben hat, befragt – und der meinte, dass die Angriffe bereits seit 1988 (!) existieren – und im Laufe der Zeit immer vertieft wurden. Ihn wundere das also nicht. Auf die Frage, was man dagegen tun kann, meinte er, dass der Einsatz von Open Source die einzige Möglichkeit sei, solche Attacken verhindern zu können, weil man den Source Code überprüfen könne.
Da frage ich mich aber, wieso auch dort erst z.T nach 25 Jahren Backdoors oder gravierende Fehler entdeckt werden. Bei genügend kriminelle Energie lässt sich überall eine Backdoor verstecken…
Aber was bringt mir OpenSource Software, wenn die darunterliegende Firmware verseucht ist? Da hilft auch kein Linux mehr.
@saujung; Du verschlüsselst Deine Festplatte? Na wo ist denn dann Dein Schlüssel? Ein Passwort das mit einem Tastaturlocker mitgelesen werden kann? Im unverschlüsselten Teil Deiner Festplatte? Oder auf einem USB-Stift?
Egal wie Du es machst, die Layer-Trennung ist nie perfekt. Wenn dann die FP dank Firmware-Mod in einem hidden-Volume sich mehr merken kannn, als Du erwartest, kann da alles mögliche gespeichert werden (z.b. der Tastatur-locker), um die schöne Trennung in niedrige und höhere Ebenen zu Fall zu bringen.
Verschlüsselung ist schon gut. Aber ich bin froh, dass ich kein Dissident bin, dessen Leben von der 100%igen Wirksamkeit der Verschlüsselung abhängt. Da kann man nur noch Kotzen. Die Geschichte mit manipulieter USB-Stift-Firmware war doch auch erst neulich zu lesen. Manipuliert Zufallsgeneratoren (damals 2003 ff.) immer wieder ein anderer Dreck.
@Dominik von Dort:
Es gibt auch open source Hardware. Open Source würde in dem Fall einen quelloffene Hardware verlangen, in der man den Quellcode der Firmware, etc auslesen und überprüfen kann.
@Maarqs
Mir ist schon klar, dass man die Schichten nicht exakt trennen kann, und auch ich bin froh, dass ich auf einen 100%tig zuverlässige Verschlüsselung nicht angewiesen bin.
UEFI beispielsweise wurde in meinen Augen nur eingeführt, um genau dieses zu ermöglichen, also KeyLogger auf einer Ebene, die das Betriebssystem nicht sieht, und ähnliche Schandtaten.
Aber die Firmware der Festplatte ist für mich in diesem Fall der falsche, bzw. ein ungeeigneter Ansatzpunkt. Vielleicht liefert Kaspersky, oder ein anderer, durch die Berichterstattung angestachelter Sicherheitsforscher, mir dazu noch ein Aha-Erlebnis.