Abo
  • Services:

Spionagesoftware: Hacking Team nutzt UEFI-Rootkit

Um seine Spionagesoftware permanent auf dem Rechner eines Opfers zu platzieren, nutzt das Hacking Team offenbar auch ein UEFI-Rootkit. Damit lässt sich der Trojaner auch nach einer Neuinstallation des Betriebssystems wieder nutzen.

Artikel veröffentlicht am ,
Über ein UEFI-Rootkit kann Hacking Teams Spionagesoftware nachinstalliert werden.
Über ein UEFI-Rootkit kann Hacking Teams Spionagesoftware nachinstalliert werden. (Bild: Trend Micro)

Im veröffentlichten Datenfundus des Hacking Teams haben mehrere Experten ein UEFI-Rootkit entdeckt. Darüber soll die Spionagesoftware des italienischen Unternehmens auch nach einer Neuinstallation des Betriebssystems wieder auf dem Rechner eines Opfers installiert werden können.

Stellenmarkt
  1. ING-DiBa AG, Frankfurt
  2. dSPACE GmbH, Paderborn

Laut einer Analyse des Antivirenherstellers Trend Micro besteht das Rootkit aus drei Komponenten: Ntfs.mod, Rkloader.mod und dropper.mod. Ntfs.mod sorgt für den Zugriff auf die von Windows verwendeten NTFS-Partitionen. Diese Komponente hatte der Linux-Entwickler und UEFI-Experte Matthew Garrett bereits kurz nach der Veröffentlichung des Datenfundus des Hacking Teams entdeckt. Ein Teil des Codes stammt offenbar aus bereits vorhandenen Open-Source-Treibern und wurde selbst unter der GPL veröffentlicht.

Drei Komponenten laden Spionagesoftware nach

Rkloader.mod wiederum lädt das NTFS-Modul und die dritte Komponente Dropper.mod. Darin sind die beiden Dateien Scout.exe und Soldier.exe, die Teil des Remote Component Systems (RCS) sind, der Spionagesoftware des Hacking Teams. Installiert wird dann die Komponente Scout.exe, die laut Trend Micro die Spionagesoftware im Debug-Modus startet.

In der Knowledgebase des Hacking Teams heißt es in einem Eintrag vom 11. März 2015, die Installation des Rootkits sei nur auf einem Asus X550C und einem Dell Latitude E6320 getestet worden. Dort wird eine automatische Installation von einem USB-Stick aus beschrieben. Das Hacking Team weist darauf hin, dass Secure Boot ausgeschaltet werden müsse, damit die Installation klappe.

Das Rootkit sei speziell für das Bios des Herstellers Insyde entwickelt worden, schreibt Trend Micro. Das Insyde-Bios sei weitverbreitet. Außerdem geht Trend Micro davon aus, dass das Rootkit sich auch auf Bios-Versionen von AMI nutzen lasse. Dort wird auch eine komplexere Installationsmethode beschrieben - etwa dass ein Angreifer das bestehende Bios auslese und durch ein manipuliertes ersetze. Beide Angriffsvektoren benötigen physischen Zugang zu dem Rechner eines Opfers. Trend Micro könne aber nicht ausschließen, dass das Rootkit auch über das Netzwerk manipuliert werden könne. Neben der Aktivierung von Secure Boot sollte deshalb auch ein Bios-Passwort gesetzt werden.

Zu den Kommentaren springen
Meistgelesen
  1. DSGVO
    Datenschutz ist die neue Mülltrennung
  2. Trotz DSGVO
    Whatsapp teilt nun massenhaft Nutzerdaten mit Facebook
  3. John Bain
    Spiele-Youtuber TotalBiscuit ist gestorben
  4. Sony
    Wie die Playstation 5 aussehen könnte
  5. 500 Autos pro Tag
    Tesla behebt Engpass beim Model 3
Anzeige
Hardware-Angebote
  1. bei dell.com
  4. und Vive Pro vorbestellbar
Kommentarübersicht
Echt zum Kotzen...
logged_in 10. Dez 2015

dass unsere Regierung die unterstützt. Nichts gegen vom BND selbsgebackene Rootkits, aber...

Re: Dann entfernt man die Schadsoftware eben per...
Mik30 17. Jul 2015

Du hast keine Ahnung wovon du redest. 1. Flash Chips werden Blockweise (typisch 32K...

Re: Bioschip hacken - Holzhammer
manawyrm 17. Jul 2015

EEPROMs sind das leider schon sehr lange nicht mehr. Ja, früher gab es mal eine seperate...

Re: Netzwerkzugang im UEFI
FreiGeistler 15. Jul 2015

Kompatibilität sicherstellen. Was zwischen unterschiedlichen Mainboards heute+/- 10...

Re: deshalb kein intel mehr
spiderbit 15. Jul 2015

Ja werde ich und wenn sich irgendwo was besseres auf tut bin ich sofort weg. Nur durch...

Folgen Sie uns
       
Cue Roboter - Test

Wir hatten Spaß mit dem frechen Cue.

Cue Roboter - Test Video aufrufen
Nissan
Nissan Leaf: Wer braucht schon ein Bremspedal?
Nissan Leaf
Wer braucht schon ein Bremspedal?

Wie fährt sich das meistverkaufte Elektroauto? Nissan hat vor wenigen Monaten eine überarbeitete Version des Leaf auf den Markt gebracht. Wir haben es gefahren und festgestellt, dass das Auto fast ohne Bremse auskommt.
Ein Erfahrungsbericht von Werner Pluta

  1. e-NV200 Nissan packt 40-kWh-Akku in Elektro-Van
  2. Reborn Light Nissan-Autoakkus speisen Straßenlaternen
  3. Elektroauto Nissan will den IMx in Serie bauen
Indiegames Rundschau
Indiegames-Rundschau: Kampfkrieger und Abenteuer in 1001 Nacht
Indiegames-Rundschau
Kampfkrieger und Abenteuer in 1001 Nacht

Battletech schickt Spieler in toll inszenierte Strategieschlachten, eine königliche Fantasywelt und Abenteuer im Orient: Unsere Rundschau stellt diesmal besonders spannende Indiegames vor.
Von Rainer Sigl

  1. Indiegames-Rundschau Mutige Mäuse und tapfere Trabbis
  2. Indiegames-Rundschau Zwischen Fake News und Mountainbiken
  3. Indiegames-Rundschau Tiefseemonster, Cyberpunks und ein Kelte
Oneplus 6
Oneplus 6 im Test: Neues Design, gleich starkes Preis-Leistungs-Verhältnis
Oneplus 6 im Test
Neues Design, gleich starkes Preis-Leistungs-Verhältnis

Das Oneplus 6 hat einen schnellen Prozessor, eine Dualkamera und ein großes Display - mit einer Einbuchtung am oberen Rand. Der Preis liegt wieder unter dem der meisten Konkurrenzgeräte. Das macht das Smartphone trotz fehlender Innovationen zu einem der aktuell interessantesten am Markt.
Ein Test von Tobias Költzsch

  1. Android-Smartphone Neues Oneplus 6 kostet ab 520 Euro
  2. Oneplus 6 Oneplus verkauft sein neues Smartphone auch direkt in Berlin
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /