Super-Virus "Lojax": Woher er kommt und wie man sich schützen kann

Ein neuer Computervirus nistet sich so in Rechner, dass es von normalen Virenscannern nicht entdeckt werden kann. Experten halten ihn für extrem gefährlich und vermuten eine bekannte Hackergruppe als Urheber. t-online.de beantwortet die wichtigsten Fragen zu "Lojax".

Was ist passiert?

Die IT-Sicherheitsfirma Eset hat den ersten Computerschädling ("Rootkit") weltweit entdeckt, der für Angriffe auf die Firmware des Mainboards (UEFI/BIOS) verwendet wurde. Er wird "Lojax" genannt. Die Firmware ist eine Art "Mini-Betriebssystem", das dem Computer nach dem Einschalten sagt, was er machen soll – zum Beispiel das Betriebssystem laden. UEFI ist eine Schnittstelle zwischen dem Betriebssystem und der Firmware eines Rechners, die für Erweiterungen offen ist. Über diese können Angreifer schädliche Module einschleusen.

Lojax nistet sich über das UEFI im Speicher der Hauptplatine. Von dort aus kann das Programm die Kontrolle des gesamten Rechners übernehmen und zum Beispiel den Datenverkehr umleiten.

"Es ist davon auszugehen, dass dieser Schädling weiterhin zum Einsatz kommt", sagte ein Eset-Sprecher t-online.de. "Er ist kein interessantes Thema für Fachkonferenzen mehr, sondern stellt eine reale Bedrohung dar", ergänzt Jean-Ian Boutin, Eset-Security Researcher.

Was ist neu an dem Schädling?

Es handelt sich um eine neue Form von "Malware" (Schadsoftware), die sich über das Internet in der Firmware eines Rechners einnistet und somit "vor" dem Betriebssystem sitzt. Das führt dazu, dass dieser selbst beim Löschen der gesamten Festplatte unentdeckt und aktiv bleibt. Auch das simple Entfernen der Puffer-Batterie auf der Hauptplatine, scheint keine Lösung zu sein. Virenschutzprogramme ohne einen UEFI-Scanner sind laut Eset nicht in der Lage, den Schädling vor der Installation zu entdecken und eine Infektion zu verhindern. Die Scanner hätten seit Oktober 2017 "Tausende von Funden" gemeldet, so Chief Research Officer Roman Kovác in einem Interview.

Wer steckt hinter dem Schädling?

Als Entwickler von "Lojax" vermutet Eset die "Sednit"-Gruppe, die auch "APT28" oder "Fancy Bear" genannt wird. Sie ist seit mindestens 2004 aktiv und auf das Stehlen von geheimen Informationen spezialisiert. Von der Hackergruppierung ist bekannt, dass sie Verbindungen zum russischen Militärgeheimdienst GRU hat.

Den Autoren des neuen Virus geht es um politische Cyberspionage und mögliche Sabotage-Aktionen, weniger um private Ziele. Laut Eset steckt die Gruppe unter anderem hinter dem sogenannten "Bundesnetz-Hack", der 2017 bekannt wurde. Andere IT-Experten machen dafür die Hackergruppe "Urla/Snake/Ouroboros" verantwortlich.

"Fancy Bear" wird auch für die Angriffe auf den französischen TV-Sender "TV5 Monde" sowie die "World Anti-Doping Agency" verantwortlich gemacht. Sogar mehrere europäische Verteidigungsministerien sollen von der Gruppe angegriffen worden sein. Auch Attacken auf die US-Demokraten während des Wahlkampfs 2016 sollen auf ihr Konto gehen.

Wie groß ist die Gefahr?

Eset bewertet das Gefährdungspotential als "extrem hoch". So sagt ein Sprecher: "Aktuell gehen wir von Angriffen auf hochrangige Ziele, möglicherweise sogar auf Regierungsnetzwerke aus." Zweitrangige Ziele könnten Großunternehmen, Rüstungskonzerne oder auch Nicht-Regierungsorganisationen sein. Die Bedrohung wird auch deshalb als besonders groß eingestuft, da es kaum Updates für BIOS beziehungsweise UEFI gibt. Zudem werden Administratoren und Anwender kaum über UEFI-Updates informiert, da es hier bisher keine Angriffe gab.

"Es ist nicht auszuschließen, dass Cyber-Kriminelle und Cyber-Spionage-Gruppen UEFI zukünftig als neue Angriffsfläche nutzen. Die Opfersysteme sind immens verwundbar und technologisch kaum abzusichern", sagt Eset.

Wie kann man sich vor dem neuen Virus schützen?

Betroffen sind vor allem Windows-Notebooks diverser großer Hersteller ab dem Baujahr 2006. Es geht dabei um bis zu einer Milliarde Geräte, berichtet die dpa. Nur Virenscanner, die eine Virenschutzsoftware mit UEFI-Scan besitzen, bekommen etwas von der Infektion mit. Eset ist nach eigenen Angaben derzeit der einzige Hersteller, der diese Lösungen anbietet. Wie Eset berichtet, konnten sie darum die Angriffe auch als Einziger erkennen.

Keine Digital-News mehr verpassen: Folgen Sie t-online.de Digital auf Facebook oder Twitter.

Wie gefährlich ist der Virus?

Zusatz-Malware, die Lojax aus dem Internet nachladen kann, ist in der Lage, den gesamten Datenverkehr umzuleiten und mitzuschneiden. Lojax ist ein Spion im System, der sich gut versteckt und bis jetzt unentdeckt geblieben ist. Sogar ein Austausch der Festplatte oder eine Neuinstallation des Betriebssystems würde ihm nichts ausmachen, da er im Speicher der Hauptplatine sitzt.

• Fancy Bear: Twitter löscht Propaganda-Accounts
• Hacker: So funktionieren russische Cyber-Angriffe
• Netzagentur warnt: Kriminelle hacken Internetrouter für Telefonbetrug

"Die von uns entdeckte Kampagne stellt eine neue Dimension der Cyberangriffe dar. Malware, die selbst den Austausch der Festplatte übersteht, ist potentiell eine Gefahr für alle Nutzer", teilt Eset mit.

Aktuell nutzte bisher nur die Spionage-Gruppe "APT28/Sednit/Sofacy" diesen Schädling für zielgerichtete Angriffe. Doch ein solcher Schädling bleibt, so zeigt die Erfahrung, nur selten in der Hand nur einer Cybercrime-Gruppe.

Hinweis: Der Artikel wurde um einen Hinweis auf die Hackergruppe "Urla/Snake/Ouroboros" und um die Frage nach dem Entnehmen der Pufferbatterie ergänzt, ein Hinweis auf den "Secure Boot"-Modus wurde entfernt.