Russische Forscher finden Spionage-Software in Festplatten-Firmware
Eine ganz wilde Geschichte gibt es derzeit wieder aus der Welt der Überwachung zu erzählen. Dass Behörden Nutzer überwachen wollen, dies dürfte kein Geheimnis mehr sein, man soll dabei nicht nur klassische Software einsetzen, sondern auch nicht vor modifizierter Firmware von Hardware zurückschrecken.
Nach einem Bericht von Kaspersky verfolgt man eine Gruppe, die auf den Namen „Equation“ hört. Diese Gruppe hat bislang unbekannte Methoden gefunden, um Malware in der Firmware von Festplatten zu verankern – wo sie nicht nur extrem schwer aufzuspüren, sondern auch noch schwerer zu entfernen sei,
Diese Schadsoftware hat man bei den üblichen Verdächtigen aus der Festplattenbranche gefunden: Samsung, IBM, Micron, Western Digital, Maxtor, Seagate, Toshiba und Hitachi. Dabei soll die Gruppe Equation eng mit Stuxnet verbunden sein, da sie ähnliche Techniken und Sicherheitslücken ausnutzte, zudem im gleichen Zeitraum agierten.
Naheliegender Verdacht: die Ähnlichkeit der ausgenutzten Lücken erinnert an jüngst veröffentlichte Methoden, die die amerikanische NSA (National Security Agency) einsetzte, um Festplatten zu infizieren.
Hier wird natürlich nun spekuliert, dass Equation ein Teil der NSA sein könnte – was die festgestellte Schadsoftware auf Festplatten wieder in den Bereich Späh- und Spionagesoftware aus Behördenhand bringen könnte. Sollte dies der Fall sein, dann hätte die NSA wohl gute Chancen, an gewünschte Daten zu kommen. Für die meisten Nutzer dürfte die Schadsoftware unbemerkt bleiben, zudem wird sie eine Partitionierung und Formatierung der Festplatte überleben.
Kaspersky gab laut Angaben von Reuters an, dass man den Schädling auf Rechnern in 30 Ländern gefunden habe – und dieser sich durch alle Bereiche ziehe: Firmen aus der Telekommunikationsbranche, Banken, das Militär, Medien – eben alles, was so geht. Kaspersky vermied es, die NSA direkt zu nennen, stellte lediglich die Nähe zu Stuxnet dar – ein ehemaliger NSA-Mitarbeiter soll gegenüber Reuters aber angedeutet haben, dass die Analyse von Kaspersky korrekt sei.
Das Spionageprogramm ist kein Fall, der erst jüngst aktiv wurde – Kaspersky konnte Spuren bis in das Jahr 2001 zurück verfolgen. Bitte nicht in falsche Panik verfallen: die Schadsoftware ist offenbar nicht ab Werk auf den Festplatten, sondern erst hinterher durch eine Manipulation auf diese gekommen, um Ziele bewusst auszuspähen.
Während Seagate, Western Digital und Micron aussagten, nichts von diesem Spionageprogramm zu wissen, haben Toshiba und Samsung einen Kommentar abgelehnt und IBM hat überhaupt nicht auf eine Anfrage reagiert. Unklar ist, wie die Angreifer an den Sourcecode der Festplatten kamen, ein Sprecher von Western Digital teilte mit, dass man keinen Code mit Behörden teile. Allerdings können Behörden, die Hardware einkaufen – beispielsweise für das Pentagon – einen Security Audit durchführen, um zu überprüfen, ob der Code sicher ist. Auch Microsoft gibt Einblicke in das System. Interessierte Nutzer finden die Analyse von Kaspersky in diesem PDF.
Davor habe ich oft gewarnt, denn selbst IT Experten wunderten sich, warum Geheimdienste trotz hoher Sicherheitsvorkehrungen an wichtige Passwörter kamen. Praktisch kann man jede Hardware wie Festplatten Firmware, USB Sticks, optische Laufwerke, BIOS, Intel AMT, Internet-Router, Treiber für Hardware usw. mit absichtlichen Sicherheitslücken usw. manipulieren.
Es gab mal einen Bericht vom SPIEGEL, wo die Redakteure zu einer wichtigen Internetzugangsfirma gefahren sind und die IT Admnistratoren/Experten auflaufen lassen haben. Die haben sich gewundert, wie trotz hoher Sicherheitsvorkehrungen der Geheimdienst NSA an Namen der wichtigsten Ansprechpartner der Firma und an streng geheime Passwörter gelangten.
Mich würde interessieren was diese modifizierte Firmware dann genau macht: auf Low Level HW-Ebene HDD Zugriffe und Daten protokollieren und an einen auch schadhaften OS-Prozess weitergeben oder was wirklich sehr krass wäre, auf dieser HW-Layer selbstständig als schadhafter Prozess zu arbeiten, sprich Daten übers Internet verschicken usw. Letzteres sollte aber alleine vom Aufbau eines OS her eigentlich nicht möglich sein.
Was bietet Kaspersky nun als Lösung des Problems an? Genau! Nichts. Tolle Werbekampagne. Am Ende sind wir genauso schlau bzw. doof u. ausgespäht wie zvor.
redpill.exe
Ich gehe davon aus, dass die Chip-Hersteller schon was Unentdeckbares einätzen…
@Holgi:
Muss denn jeder gleich eine Lösung haben? Also ist das realistisch? Hatte den Snowden eine Lösung, wie man der NSA entgeht? Haben z.B. Ärzte sofort eine Lösung, wenn sie eine neue Krankheit entdecken? Hat Google sofort Lösungen, wenn man Sicherheitslücken in Produkten (der Konkurrenz) entdeckt?
Erstmal muss das Problem entdeckt werden, dann kann man eine Lösung suchen. Klar dient es (vermutlich) auch der Werbung. Wenn jetzt aber andere auf das Problem aufmerksam werden, es bestätigen können und/oder an einer Lösung arbeiten – wo ist dann das Problem? Evtl geht es schneller, als wenn Kaspersky die nächsten 24 Monate allein nach einer Lösung sucht….
Ich würde das nicht von vornherein als negativ abtun.