Abo
  • Services:
Anzeige
Die von Kaspersky entdeckten Spionagewerkzeuge können leicht selbst hergestellt werden.
Die von Kaspersky entdeckten Spionagewerkzeuge können leicht selbst hergestellt werden. (Bild: Kaspersky)

Equation Group: Die Waffen der NSA sind nicht einzigartig

Die von Kaspersky entdeckten Spionagewerkzeuge können leicht selbst hergestellt werden.
Die von Kaspersky entdeckten Spionagewerkzeuge können leicht selbst hergestellt werden. (Bild: Kaspersky)

Die mutmaßliche NSA-Spionagesoftware, die Kaspersky-Sicherheitsexperten aufgespürt haben, ist unheimlich und raffiniert. Das Know-how dazu haben aber auch andere.

Anzeige

Spezialisten des russischen Virenschutz-Entwicklers Kaspersky haben kürzlich eine Reihe von Programmen aufgedeckt, mit deren Hilfe Geheimdienste wie die NSA auch besonders gesicherte Computersysteme von Regierungen, Militärs und Unternehmen ausspionieren können. Was Kaspersky Lab präsentierte, klang nach Spionagesoftware der Superlative: Sie nistet sich unlöschbar auf Festplatten ein und umgeht alle Schutzvorkehrungen. Equation Group nennt Kaspersky die Urheber. Vieles deutet darauf hin, dass es sich dabei um die Spezialeinheit Tailored Access Operations (TAO) der NSA handelt.

Die Supersoftware fand sich auf rund 500 Rechnern weltweit. Aber in nur fünf Fällen fanden die Schadsoftware-Spezialisten die raffinierteste Version, um nicht zu sagen: die unheimlichste. Wie sie funktioniert, berichtet das Magazin Wired nun erstmals ausführlich. Doch so mächtig sie erscheinen mag: einzigartig ist sie nicht.

Kernstück ist demnach eine Datei namens nls_933w.dll. Es soll sich dabei um einen Firmware-Flasher handeln, ein Modul, mit dem die Angreifer die Firmware - also die zur Steuerung der Hardware notwendige vorinstallierte Software - von verschiedenen handelsüblichen Festplatten aus der Ferne ersetzen konnten. Die Opfer eines solchen Angriffs sind dann nicht mehr Herr über ihren eigenen Rechner.

Der Grund dafür ist die besondere Lage der Firmware in einem speziellen Speicher oder Chip, von wo aus sie die grundlegende Funktion der Festplatte steuert. Dieser Speicher oder Chip kann von Antivirensoftware und vom Anwender nicht durchsucht werden, und die Firmware wird selbst dann nicht beeinträchtigt, wenn jemand das Betriebssystem seines Computers löscht und neu aufspielt. Mit anderen Worten: die bösartige Firmware der Equation Group ist gekommen, um zu bleiben. Loswerden kann man sie nach derzeitigem Stand nur noch, indem man die Festplatte zerstört und wegschmeißt.

Abgesehen davon bietet die Lage noch weitere Vorteile: So belegt die Firmware meist nicht den kompletten Speicherplatz ihres Chips, ein Rest bleibt ungenutzt und für den Computernutzer unzugänglich. Die Version der Equation Group nutzt diesen Rest als versteckten Speicher.

Das funktioniert im Zusammenspiel mit anderen Schnüffelprogrammen. Kaspersky hat verschiedene solcher Pakete identifiziert und zwei von ihnen GrayFish und EquationDrug getauft. Beide sind in der Lage, einen Zielrechner nach interessanten Dateien zu durchsuchen und diese dann auf dem Chip mit der Firmware abzulegen. Weil Computernutzer nicht einfach nachschauen können, was auf diesem Chip gespeichert ist, ist das ein ziemlich gutes Versteck.

Zudem kann es eine geradezu elegante Methode sein, die Verschlüsselung einer Festplatte auszuhebeln. Weil diese den Firmware-Chip nicht mit absichert, muss der Angreifer später nur noch auf den geheimen Speicherplatz zugreifen können, um an die dorthin kopierten unverschlüsselten Dateien zu gelangen. Alternativ könnte ein Spionagepaket wie GrayFish das Entschlüsselungspasswort abgreifen, wenn der Computernutzer es eingibt.

Ist der Computer aus Sicherheitsgründen nicht mit dem Internet verbunden - Kaspersky weist darauf hin, dass dies bei einem der fünf befallenen Rechner der Fall war, ohne zu erklären, wie er infiziert wurde -, brauchen die Angreifer irgendwann allerdings physischen Zugriff, um die gesicherten Daten auslesen zu können. Eine Grenzkontrolle kann dazu reichen. Die Voraussetzungen für eine solche Spionageaktion und die möglichen Komplikationen zeigen schon: Es handelt sich um Werkzeuge, die nur sehr selten eingesetzt werden.

Forscher haben ähnliche Hacks entwickelt

Brauchen die Angreifer noch mehr Speicherplatz, können sie im normalen Speicher der Festplatte ein weiteres Versteck anlegen. Dass die NSA genau das können wollte und mittlerweile vermutlich kann, geht aus einem Dokument von 2007 hervor, das der Spiegel veröffentlicht hat. Covert Storage Product nennt die NSA die Idee darin: Manipulierte Firmware soll dem Betriebssystem nicht die tatsächlich verfügbare Speicherkapazität melden, sondern einen Teil davon geheim halten. Der soll nur über ein spezielles Kommando zugänglich und anschließend wieder abschließbar sein.

Aber nicht nur Geheimdienste beschäftigen sich mit solchen Angriffsszenarien. Schon 2013 demonstrierte ein Hacker, der sich Sprite_tm nennt, wie man die Firmware einer Festplatte "reverse engineeren" und überschreiben kann. Im vergangenen Jahr haben acht Experten um den Sicherheitsforscher Travis Goodspeed mit ähnlichen Methoden ein potenziell ähnlich mächtiges und kaum zu entdeckendes Schnüffelwerkzeug geschaffen, wie es die Equation Group getan hat. Und die Forscher der Berliner Security Research Labs um Karsten Nohl haben die Firmware von USB-Geräten gehackt und so verschiedene Geräte in perfide Wanzen verwandelt. Nohl sagt, das Reverse Engineering einer Festplatten-Firmware erfordere "etwas Expertise und einige Wochen Zeit".

Alle drei Hacker- und Forschergruppen relativieren damit ein wenig die Aussage von Kaspersky, etwas Komplexeres als die Infektion der Festplatten-Firmware habe man noch nie gesehen. In der Veröffentlichung von Goodspeed und seinen Kollegen heißt es, nicht nur staatliche Organisationen können solche Spionageprogramme entwickeln, sondern auch "finanziell mittelmäßig ausgestattete Kriminelle".


eye home zur Startseite
__destruct() 25. Feb 2015

Hast du seinen Beitrag überhaupt gelesen? Es geht rein um die Funktion, die das Schreiben...

__destruct() 25. Feb 2015

Das ist sowieso immer Voraussetzung. Mit CS-Hardware kann das richtig ins Geld gehen...

Wallbreaker 25. Feb 2015

Wird effektiv gesehen ein reines Windows Problem sein, da diese Plattform derartige...

Sarkastius 25. Feb 2015

Glaubst du wirklich das es mit dem Zugriff ein großes Problem ist? Als Beispiel: Hast du...

arm-zu-schlau 25. Feb 2015

Hier "nicht einzigartig" - Dtl ist nun mal das Land für B-ware und wer dort A-ware hat...



Anzeige

Stellenmarkt
  1. Helmsauer IT Solutions GmbH, Nürnberg
  2. Media-Saturn Deutschland GmbH, Ingolstadt
  3. ARTEMIS Augenkliniken, Frankfurt
  4. Saacke GmbH, Bremen


Anzeige
Blu-ray-Angebote
  1. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  2. 24,99€ (Vorbesteller-Preisgarantie)
  3. 299,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Star Wars - Die letzten Jedi

    Viel Luke und zu viel Unfug

  2. 3D NAND

    Samsung investiert doppelt so viel in die Halbleitersparte

  3. IT-Sicherheit

    Neue Onlinehilfe für Anfänger

  4. Death Stranding

    Kojima erklärt Nahtodelemente und Zeitregen

  5. ROBOT-Angriff

    19 Jahre alter Angriff auf TLS funktioniert immer noch

  6. Bielefeld

    Stadtwerke beginnen flächendeckendes FTTB-Angebot

  7. Airspeeder

    Alauda plant Hoverbike-Rennen

  8. DisplayHDR 1.0

    Vesa definiert HDR-Standard für Displays

  9. Radeon-Software-Adrenalin-Edition

    Grafikkartenzugriff mit Smartphone-App

  10. Datentransfer in USA

    EU-Datenschützer fordern Nachbesserungen beim Privacy Shield



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
E-Golf auf Tour: Reichweitenangst oder: Wie wir lernten, Lidl zu lieben
E-Golf auf Tour
Reichweitenangst oder: Wie wir lernten, Lidl zu lieben
  1. Uniti One Schwedisches Unternehmen Uniti stellt erstes Elektroauto vor
  2. LEVC London bekommt Elektrotaxis mit Range Extender
  3. Vehicle-to-Grid Honda macht Elektroautos zu Stromnetz-Puffern

Alexa-Geräte und ihre Konkurrenz im Test: Der perfekte smarte Lautsprecher ist nicht dabei
Alexa-Geräte und ihre Konkurrenz im Test
Der perfekte smarte Lautsprecher ist nicht dabei
  1. Alexa und Co. Wirtschaftsverband sieht Megatrend zu smarten Lautsprechern
  2. Smarte Lautsprecher Google unterstützt indirekt Bau von Alexa-Geräten
  3. UE Blast und Megablast Alexa-Lautsprecher sind wasserfest und haben einen Akku

4K UHD HDR: Das ZDF hat das Internet nicht verstanden
4K UHD HDR
Das ZDF hat das Internet nicht verstanden
  1. Cisco und Lancom Wenn Spionagepanik auf Industriepolitik trifft
  2. Encrypted Media Extensions Web-DRM ist ein Standard für Nutzer

  1. Die EU sollte die Hersteller dazu verdonnern, das...

    Konstantin/t1000 | 21:15

  2. Wann kommen endlich Updates für alle Smartphones...

    Konstantin/t1000 | 21:11

  3. Re: mehr als 1000 cd/m² gibt es nicht?

    as (Golem.de) | 21:10

  4. Re: Rechtschreibung Überschrift

    Kakiss | 21:09

  5. Re: Ist dann eSIM endlich cool?

    angelodou | 20:59


  1. 18:40

  2. 17:11

  3. 16:58

  4. 16:37

  5. 16:15

  6. 16:12

  7. 16:01

  8. 15:54


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel