Spionagesoftware: Hacking Team nutzt UEFI-Rootkit

Um seine Spionagesoftware permanent auf dem Rechner eines Opfers zu platzieren, nutzt das Hacking Team offenbar auch ein UEFI-Rootkit. Damit lässt sich der Trojaner auch nach einer Neuinstallation des Betriebssystems wieder nutzen.

Artikel veröffentlicht am ,
Über ein UEFI-Rootkit kann Hacking Teams Spionagesoftware nachinstalliert werden.
Über ein UEFI-Rootkit kann Hacking Teams Spionagesoftware nachinstalliert werden. (Bild: Trend Micro)

Im veröffentlichten Datenfundus des Hacking Teams haben mehrere Experten ein UEFI-Rootkit entdeckt. Darüber soll die Spionagesoftware des italienischen Unternehmens auch nach einer Neuinstallation des Betriebssystems wieder auf dem Rechner eines Opfers installiert werden können.

Stellenmarkt
  1. Referent (w/m/d) im Bereich IT-Sicherheit
    Hochschule der Medien (HdM), Stuttgart-Vaihingen
  2. Informatiker / Maschinenbauingenieur (m/w/d) Digital Manufacturing
    SKF GmbH, Schweinfurt
Detailsuche

Laut einer Analyse des Antivirenherstellers Trend Micro besteht das Rootkit aus drei Komponenten: Ntfs.mod, Rkloader.mod und dropper.mod. Ntfs.mod sorgt für den Zugriff auf die von Windows verwendeten NTFS-Partitionen. Diese Komponente hatte der Linux-Entwickler und UEFI-Experte Matthew Garrett bereits kurz nach der Veröffentlichung des Datenfundus des Hacking Teams entdeckt. Ein Teil des Codes stammt offenbar aus bereits vorhandenen Open-Source-Treibern und wurde selbst unter der GPL veröffentlicht.

Drei Komponenten laden Spionagesoftware nach

Rkloader.mod wiederum lädt das NTFS-Modul und die dritte Komponente Dropper.mod. Darin sind die beiden Dateien Scout.exe und Soldier.exe, die Teil des Remote Component Systems (RCS) sind, der Spionagesoftware des Hacking Teams. Installiert wird dann die Komponente Scout.exe, die laut Trend Micro die Spionagesoftware im Debug-Modus startet.

In der Knowledgebase des Hacking Teams heißt es in einem Eintrag vom 11. März 2015, die Installation des Rootkits sei nur auf einem Asus X550C und einem Dell Latitude E6320 getestet worden. Dort wird eine automatische Installation von einem USB-Stick aus beschrieben. Das Hacking Team weist darauf hin, dass Secure Boot ausgeschaltet werden müsse, damit die Installation klappe.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Das Rootkit sei speziell für das Bios des Herstellers Insyde entwickelt worden, schreibt Trend Micro. Das Insyde-Bios sei weitverbreitet. Außerdem geht Trend Micro davon aus, dass das Rootkit sich auch auf Bios-Versionen von AMI nutzen lasse. Dort wird auch eine komplexere Installationsmethode beschrieben - etwa dass ein Angreifer das bestehende Bios auslese und durch ein manipuliertes ersetze. Beide Angriffsvektoren benötigen physischen Zugang zu dem Rechner eines Opfers. Trend Micro könne aber nicht ausschließen, dass das Rootkit auch über das Netzwerk manipuliert werden könne. Neben der Aktivierung von Secure Boot sollte deshalb auch ein Bios-Passwort gesetzt werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Star Trek
Playmobil bringt 1 Meter langes Enterprise-Spielset

Star Treks klassische Enterprise NCC-1701 kommt mit den Hauptcharakteren, Phasern und Tribbles sowie einem Standfuß und einer Deckenhalterung.

Star Trek: Playmobil bringt 1 Meter langes Enterprise-Spielset
Artikel
  1. Materialforschung: Leichtes Schallschutzmaterial für leisere Luftfahrt
    Materialforschung
    Leichtes Schallschutzmaterial für leisere Luftfahrt

    Das Material wiegt nicht einmal ein Zehntel so viel wie heute eingesetzter Schaum zur Schalldämmung. Einsatzmöglichkeiten sehen die Erfinder vor allem in der Luftfahrt.

  2. Akkutechnik und E-Mobilität: Natrium-Ionen-Akkus werden echte Lithium-Alternative
    Akkutechnik und E-Mobilität
    Natrium-Ionen-Akkus werden echte Lithium-Alternative

    Faradion und der Tesla-Zulieferer CATL produzieren erste Natrium-Ionen-Akkus mit der Energiedichte von LFP. Sie sind kälteresistenter, sicherer und lithiumfrei.
    Von Frank Wunderlich-Pfeiffer

  3. World of Warcraft, Pokémon, Bitcoin: Moba Pokémon Unite startet schon bald
    World of Warcraft, Pokémon, Bitcoin
    Moba Pokémon Unite startet schon bald

    Sonst noch was? Was am 18. Juni 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

logged_in 10. Dez 2015

dass unsere Regierung die unterstützt. Nichts gegen vom BND selbsgebackene Rootkits, aber...

Mik30 17. Jul 2015

Du hast keine Ahnung wovon du redest. 1. Flash Chips werden Blockweise (typisch 32K...

manawyrm 17. Jul 2015

EEPROMs sind das leider schon sehr lange nicht mehr. Ja, früher gab es mal eine seperate...

FreiGeistler 15. Jul 2015

Kompatibilität sicherstellen. Was zwischen unterschiedlichen Mainboards heute+/- 10...

spiderbit 15. Jul 2015

Ja werde ich und wenn sich irgendwo was besseres auf tut bin ich sofort weg. Nur durch...


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Orange Week bei Cyberport: bis zu 70% Rabatt (u. a. WD Black SN750 1TB 109,90€) • Prime-Filme leihen für je 0,99€ • Weekend Deals (u. a. Seagate Expansion+ 4TB 89,90€) • 10% auf Gaming bei Ebay (u. a. AMD Ryzen 7 5800X 350,91€) • Apple Weekend bei MediaMarkt [Werbung]
    •  /