Spionage-Tool entdeckt Super-Virus kapert tausende Festplatten
News folgenSicherheitsforscher des russischen Software-Herstellers Kaspersky haben eine neue Familie von Computer-Schadsoftware entdeckt, die nach Angaben der Forscher "alles bisher Bekannte in den Schatten stellt". Zwei der entdeckten Schädlinge können angeblich die Festplatten-Firmware aller gängigen Hersteller umschreiben.
Bei Firmware handelt es sich um die Geräte-Software, ohne die sich Hardware wie etwa Festplatten und USB-Sticks nicht in ein Computersystem einbinden und in Betrieb nehmen lassen. Die Firmware steuert aber auch bei Kameras oder Grafikkarten die grundlegenden Funktionen, während ein Betriebssystem mit der Firmware über sogenannte Treiber-Software kommuniziert.
Die von Kaspersky auf den Namen "Equation Group" getaufte Hackergruppe hat einen Weg gefunden, die Firmware von Festplatten zu infizieren und zu verändern. Dabei werde ein unsichtbarer Bereich geschaffen, in dem Informationen gespeichert werden, um sie später abrufen zu können. Die Hacker-Software überlebt eine Neuformatierung der Festplatte oder Neuinstallation des Betriebssystems und sei nicht zu entdecken.
Ein verlässlicher Schutz vor den Schadprogrammen der "Equation Group" sei nur vor der Infektion möglich, so Kaspersky. Antiviren-Programme können eine schon infizierte Firmware nicht entfernen oder reparieren. Gleichwohl sei diese Umprogrammierung von Festplatten-Firmware so selten, dass der Schluss naheliege, dass sie nur gegen ganz besondere Ziele oder unter ganz außergewöhnlichen Umständen eingesetzt würde.
Trojaner auf CD-ROM und USB-Stick
Die Angreifer nutzten laut Kaspersky alle Methoden, um Ziele zu infizieren: nicht nur über das Internet per Mail-Anhang, sondern auch über die physikalische Welt. Als etwa die Teilnehmer einer wissenschaftlichen Konferenz in Houston nach Hause kamen, erhielten einige eine CD-ROM mit Inhalten zur besuchten Konferenz. So konnten die Angreifer ihren Trojaner bei den anvisierten Rechnern platzieren. Die genaue Methode, wie die Inhalte der CD mit böswilligem Code versehen werden konnte, bleibt unbekannt.
Als weiteren Angreifer konnten die Virenforscher einen als "Fanny Wurm" getauften und seit Juli 2008 aktiven Trojaner lokalisieren. Dieser gelangt über versteckte Speicherbereiche auf USB-Sticks in fremde Systeme. Sobald der präparierte Stick mit einem internetfähigen Gerät verbunden werde, sende der Fanny Wurm grundlegende Informationen über das System an einen Kontroll-Server seiner Urheber und lade die Komponente zur Firmware-Manipulation nach.
Der "Todesstern" unter den Trojanern
Die Equation Group sei so etwas wie der "Todesstern" der Schadsoftware-Galaxie, schrieb Kaspersky in Anspielung an die Superwaffe aus den "Star Wars"-Filmen, die ganze Planeten zerstören konnte. Seit dem Jahr 2001 habe es tausende Angriffe in über 30 Ländern gegeben. Unter den Zielen seien Regierungsbehörden, Institutionen aus den Bereichen Luft- und Raumfahrt, Energie, Nuklearforschung sowie Medien, Finanzinstitute und Unternehmen, die Verschlüsselungstechnologien entwickeln.
Kaspersky legt eine Verbindung zu westlichen Geheimdiensten nahe: Zum Teil seien Schwachstellen ausgenutzt worden, auf die später auch die gegen das iranische Atomprogramm gerichtete Schadsoftware Stuxnet zugegriffen habe. Hinter Stuxnet stecken nach bisherigen Informationen vor allem amerikanische und israelische Geheimdienst-Experten.
So schützen Sie Ihren PC
Auf die Gefahren von manipulierter Firmware haben Computer-Experten schon mehrfach hingewiesen. Im Sommer 2014 etwa demonstrierten Berliner Forscher, wie sich mit manipulierter USB-Firmware fremde PCs steuern lassen. Einheitliche Standards und Sicherheitsmechanismen, die vor Manipulationen schützen, gibt es nicht.
Generell können sich PC-Nutzer schützen, indem sie Betriebssystem und Programme immer auf dem neusten Stand halten und via Auto-Update gegen Hackerangriffe abhärten. Fehlt Ihrem Computer ein Virenschutz-Programm, sollten Sie dieses schnellstens installieren; eine kostenlose Software wie avast Free Antivirus oder Avira Free Antivirus ist schon ausreichend. Der Virenscanner sollte immer eingeschaltet sein.
