Abo
  • Services:

LoJax: UEFI-Rootkit in freier Wildbahn gesichtet

Die Sicherheitsfirma Eset hat das erste aktive UEFI-Rootkit entdeckt. Die Schadsoftware übersteht einen Austausch der Festplatte und wird der berüchtigten Hackergruppe APT28 zugeschrieben. Diese soll unter anderem für den Bundestagshack verantwortlich sein.

Artikel veröffentlicht am , Moritz Tremmel
Ob wohl unter der Tastatur ein UEFI-Rootkit lauert?
Ob wohl unter der Tastatur ein UEFI-Rootkit lauert? (Bild: Tadas Sar/unsplash)

Der Antivirenspezialist Eset hat zum ersten Mal ein UEFI-Rootkit entdeckt, das bereits beim Start des Rechners geladen wird und eine Ebene unter dem Betriebssystem agiert. Eset stellte die Schadsoftware am 27. September 2018 auf der Sicherheitskonferenz BlueHat von Microsoft vor. Voraussetzung für den Angriff ist ein älteres Gerät, dessen UEFI nicht aktualisiert wurde, sowie das Betriebssystem Windows. Der Angriff wird der Hackergruppe APT28 zugeordnet, die für ausgefeilte Hacks auf staatliche Institutionen bekannt ist. Die Software soll bisher in Ost- und Mitteleuropa zum Einsatz gekommen sein. Eine Adaption des Angriffs durch Kriminelle ist nicht auszuschließen.

Stellenmarkt
  1. Freie und Hansestadt Hamburg, Hamburg
  2. Versicherungskammer Bayern, Saarbrücken, München

Schadsoftware, die sich weit vor dem Betriebssystem in den Bootvorgang einnistet, gilt als besonders gefährlich. Sie läuft eine Ebene unter dem Betriebssystem, kann es kontrollieren und sich jeder Kontrolle durch dieses entziehen. Bisher wurden UEFI-Rootkits eher auf Sicherheitskonferenzen diskutiert oder die Existenz solcher Software bei der NSA und dem Schadsoftware-Hersteller HackingTeam wurde in geleakten Dokumenten erwähnt. Jetzt wurde das erste UEFI-Rootkit, das sich in der modernen Variante des BIOS namens Unified Extensible Firmware Interface im Einsatz befindet, entdeckt.

Eset nennt es LoJax, in Anlehnung an die PC-Ortungssoftware LoJack, die auch unter dem Namen Computrace bekannt ist. Anfang des Jahres war bekanntgeworden, dass die Software von derselben Hackergruppe so modifiziert wurde, dass sie anstelle von LoJack-Servern die Rechner von APT28 zum Datenaustausch verwendete.

LoJax befällt den Rechner, indem es die UEFI-Firmware aus Windows heraus ausliest, mit Schadcode infiziert und anschließend auf den UEFI-Speicherchip im Computer schreibt. Wird der Schreibzugriff auf den Chip durch Sicherheitsmaßnahmen unterbunden, versucht die Schadsoftware mit Hilfe einer vier Jahre alten Sicherheitslücke in UEFI, die Schreiboperation dennoch durchzuführen. Mit jedem Start des Rechners wird nun auch die Schadsoftware gestartet. Diese übersteht eine Neuinstallation des Betriebssystems oder den Wechsel der Festplatte, da sie bereits vor deren Verwendung gestartet wird.

Gegen LoJax hilft laut Eset sowohl eine aktuelle UEFI-Firmware, mit welcher der Speicherzugriff unterbunden wird, oder ein aktiviertes Secure-Boot, bei welchem die UEFI-Firmware nur signierte Firmware-Module startet. Da LoJax keine entsprechende Signatur enthält, kann es auch nicht geschrieben oder gestartet werden.

Eine Hackergruppe mit vielen Namen und staatlichen Zielen

Die Schadsoftware kann recht eindeutig der Hackergruppe APT28 zugeordnet werden, die auch unter den Namen Sednit, Fancy Bear, Strontium und Sofacy bekannt ist. Der Antivirenhersteller fand das Rootkit im Zusammenhang mit Tools und Command-and-Control-Servern, die der Hackergruppe zugeordnet werden.

Die seit mindestens 2004 aktive Hackergruppe zielt auf staatliche Institutionen und Sicherheitsunternehmen. Ihr werden unter anderem Angriffe auf das Netzwerk des Bundestages im Jahr 2015 und der Bundesregierung im Jahr 2017 sowie auf Mailkonten der Demokratischen Partei im US-Wahlkampf zugerechnet.

APT28 wird in der Nähe russischer Geheimdienste oder des Militärs verortet. Allerdings gilt, dass Angriffe und Schadsoftware nur schwer und häufig auf Basis von Indizien, Hackergruppen, Staaten oder staatlichen Institutionen wie Geheimdiensten oder dem Militär zugewiesen werden können. Eset unterlässt daher eine geopolitische Einordnung explizit.



Anzeige
Spiele-Angebote
  1. 2,99€
  2. 4,99€
  3. 44,98€ + USK-18-Versand

FreiGeistler 03. Okt 2018 / Themenstart

Das spricht ja nicht per se gegen den Hardware-Schalter, weil dieser gegen mehr gegen...

FreiGeistler 03. Okt 2018 / Themenstart

Ironischerweise sind die Chromebooks mit Coreboot/Seabios weitaus sicherer als jeder...

morecomp 30. Sep 2018 / Themenstart

Der Staat ist doch dran, seid nicht naiv. Wollt ihr Sicherheit, muss es hardwareseitig...

Kleba 29. Sep 2018 / Themenstart

+1! Bei nicht zeitkritischen Nachrichten ist doch ziemlich unerheblich, ob die nun am...

Schattenwerk 28. Sep 2018 / Themenstart

Windows löschen und nur Arch verwenden. Schon ist die Welt, in vielfacher Hinsicht, besser ;)

Kommentieren


Folgen Sie uns
       


Infiltrator Demo mit DLSS und TAA

Wir haben die Infiltrator Demo auf einer Nvidia Geforce RTX 2080 Ti mit DLSS und TAA ablaufen lassen.

Infiltrator Demo mit DLSS und TAA Video aufrufen
Augmented Reality: Das AR-Fabrikgelände aus dem Smartphone
Augmented Reality
Das AR-Fabrikgelände aus dem Smartphone

Derzeit ist viel von einer Augmented Reality Cloud die Rede. Golem.de hat mit dem Berliner Startup Visualix über den Stand der Technik und künftige Projekte für Unternehmenskunden gesprochen - und darüber, was die Neuerungen für Pokémon Go bedeuten könnten.
Ein Interview von Achim Fehrenbach

  1. Jarvish Motorradhelm bringt Alexa in den Kopf
  2. Patentantrag Apple plant Augmented-Reality in der Windschutzscheibe
  3. Magic Leap Lumin OS Erste Bilder des Betriebssystems für Augmented Reality

Mate 20 Pro im Hands on: Huawei bringt drei Brennweiten und mehr für 1.000 Euro
Mate 20 Pro im Hands on
Huawei bringt drei Brennweiten und mehr für 1.000 Euro

Huawei hat mit dem Mate 20 Pro seine Dreifachkamera überarbeitet: Der monochrome Sensor ist einer Ultraweitwinkelkamera gewichen. Gleichzeitig bietet das Smartphone zahlreiche technische Extras wie einen Fingerabdrucksensor unter dem Display und einen sehr leistungsfähigen Schnelllader.
Ein Hands on von Tobias Költzsch

  1. Keine Spionagepanik Regierung wird chinesische 5G-Ausrüster nicht ausschließen
  2. Watch GT Huawei bringt Smartwatch ohne Wear OS auf den Markt
  3. Ascend 910/310 Huaweis AI-Chips sollen Google und Nvidia schlagen

Galaxy A9 im Hands on: Samsung bietet vier
Galaxy A9 im Hands on
Samsung bietet vier

Samsung erhöht die Anzahl der Kameras bei seinen Smartphones weiter: Das Galaxy A9 hat derer vier, zudem ist auch die restliche Ausstattung nicht schlecht. Aus verkaufspsychologischer Sicht könnte die Einstufung in die A-Mittelklasse bei einem Preis von 600 Euro ein Problem sein.
Ein Hands on von Tobias Költzsch

  1. Auftragsfertiger Samsung startet 7LPP-Herstellung mit EUV
  2. Galaxy A9 Samsung stellt Smartphone mit vier Hauptkameras vor
  3. Galaxy J4+ und J6+ Samsung stellt neue Smartphones im Einsteigerbereich vor

    •  /